Heise security
Ende-zu-Ende-Verschlüsselung: Instagram deaktiviert Privatsphärenschutz
Metas Tochterunternehmen Instagram schaltet am 8. Mai die Ende-zu-Ende-Verschlüsselung für Direktnachrichten ab.
Ivanti EPMM: Update stopft bereits angegriffene Sicherheitslücken
Ivanti hat Sicherheitsupdates für den Endpoint Manager Mobile (EPMM) veröffentlicht. Sie schließen auch bereits attackierte Lücken.
Dank KI: Im April so viele Firefox-Lücken geschlossen wie vorher in zwei Jahren
Mit einem großen Update und kleineren Patches hat Mozilla im April 423 Firefox-Lücken geschlossen. Noch vor kurzem waren es pro Monat immer etwa zwei Dutzend.
„Dirty Frag“: Linux-Lücken verschaffen root-Rechte
Weitere Lücken mit dem Namen „Dirty Frag“ ermöglichen die Rechteausweitung. Betroffen sind wohl alle Distributionen.
QLNX: Neuer Remote-Access-Trojaner zielt auf Linux-Entwickler
Hinter Quasar Linux (QLNX) steckt kein Betriebssystem, sondern ein Supply-Chain-Angriffstool, das sich nur schwer erkennen und entfernen lässt.
„CallPhantom“: Android-App liefert falsche Daten anstatt Anrufprotokolle
Die Apps der „CallPhantom“-Kampagne versprechen, gegen Zahlung Anrufverlauf beliebiger Nummern zu liefern. Die Daten sind erfunden.
Cyberkrieg: Medien zitieren Interna aus Russlands Geheimdienstausbildung
An einem Lehrstuhl einer Moskauer Universität lässt der Militärgeheimdienst GRU angeblich seinen Nachwuchs ausbilden. Mehrere Medien zitieren interne Dokumente.
Node.js 25: Ausbrüche aus JavaScript-Sandbox vm2 vorstellbar
Die Sandbox-Komponente vm2 der Open-Source-JavaScript-Laufzeitumgebung Node.js ist mit bestimmten Einstellungen verwundbar.
Cisco: Codeschmuggel-Leck in Unity Connection und weitere Lücken
Cisco hat fast zwei Handvoll Sicherheitsupdates veröffentlicht. Sie schließen mehrere hochriskante Lücken etwa in Unity Connection.
Google Chrome: Update auf Version 148 stopft 127 Sicherheitslücken
In der Nacht zum Mittwoch hat Google den Chrome-Webbrowser auf den Versionszweig 148 gehievt. Der schließt 127 Sicherheitslücken.
Welt-Passwort-Tag: Passkeys, Mehr-Faktor-Authentifizierung, alles ist besser
Jeden ersten Donnerstag im Mai ist der Welt-Passwort-Tag. Zeit, sich um bessere Sicherheit zu kümmern.
Apache HTTP Server: Hochriskante Lücken ermöglichen Einschleusen von Schadcode
Im Apache HTTP Server 2.4.67 stopfen die Entwickler mehrere Sicherheitslücken, die teils das Einschleusen von Schadcode ermöglichen.
Microsoft 365 soll Vertraulichkeit-Labels besser beachten
In Microsoft-365-Dokumenten lassen sich Vertraulichkeit-Labels vergeben. Künftig sollen die stärker berücksichtigt werden.
Jetzt patchen! Attacken auf WordPress-Plug-in Breeze Cache beobachtet
Derzeit haben Angreifer WordPress-Websites mit dem Plug-in Breeze Cache im Visier und platzieren Hintertüren auf Servern.
IPFire: Neue DNS Firewall soll URL-Filter und Pi-hole ablösen
Die Firewall-Distribution IPFire bringt mit Core Update 201 eine DNS Firewall mit, die unerwünschte Domains schon bei der Namensauflösung blockiert.
Google Chrome für Android: Ungefähren Standort teilen statt präziser Daten
Google verpasst Chrome für Android eine neue Funktion, mit der Nutzer Webseiten auf Wunsch nur noch ihren ungefähren Standort mitteilen können.
FSFE warnt: NHS sollte quelloffenen Code nicht depublizieren
Die Free Software Foundation Europe warnt vor dem Umstellen der NHS-Code-Repositories auf Privat aus Angst vor KI-Schwachstellensuche.
„Pressure Cooker“: Europols geheime Datenverarbeitung ohne Aufsicht
Interne, per Infofreiheit erlangte Warnungen belegen, dass das EU-Polizeiamt lange operative Netzwerke ohne IT-Kontrolle und richtige Protokollierung betrieb.
„Passwort“ Bonusfolge 56a: Hilfreiche ISPs und wenig hilfreiche Response-Center
Der Podcast schiebt eine Bonusfolge ein, um von einer interessanten Android-Malware und von wortwörtlich dramatischen Windows-Exploits zu erzählen.
PAN-OS-Lücke wird angegriffen, Updates erst in Wochen geplant
Palo Alto Networks warnt vor einer bereits angegriffenen kritischen Sicherheitslücke in PAN-OS. Updates kommen frühestens Mitte Mai.