Heise security
Databricks: Sicherheitslücken beim Vibe Coding erkennen und vermeiden
Ist Vibe Coding sicher? – Nein, stellten Forschende von Databricks fest und stießen auf erhebliche Lücken. Sie empfehlen eine Reihe von Gegenmaßnahmen.
Darknet-Angebot: Zehntausende Ausweis-Scans in italienischen Hotels geklaut
Vor allem hochpreisige Hotels standen im Fokus eines Datenklaus. Betroffen sind auch Deutsche, deren Personalausweise, Führerscheine oder Pässe kopiert wurden.
AMD und Intel stopfen zahlreiche Sicherheitslücken
AMD und Intel haben im August Updates herausgegeben, die zahlreiche Sicherheitslücken in VGA- sowie Netzwerktreibern und Prozessoren schließen.
Zoom: Windows-Clients ermöglichen Angriffe aus dem Netz
Eine kritische Sicherheitslücke klafft in den Windows-Clients der Konferenzsoftware Zoom. Updates zum Stopfen stehen bereit.
Patchday: Mehrere Fortinet-Produkte sind angreifbar
Sicherheitsupdates schließen Schwachstellen in unter anderem FortiManager, FortiPAM und FortiWeb.
WinRAR: Sicherheitslücke von zwei unterschiedlichen Gruppen attackiert
Die in WinRAR 7.13 geschlossene Sicherheitslücke wurde unabhängig von zwei unterschiedlichen Gruppen angegriffen.
"Passwort" Folge 38: Schlaue Hacks von schlauen Verträgen
Der Podcast nimmt einen aktuellen, geschickten Angriff gegen "Proxy-Contracts" zum Anlass, sich die Vor- und Nachteile von Code auf der Blockchain anzusehen.
"Citrix Bleed 2": Aktuelle Angriffswarnungen
Die "Citrix Bleed 2" genannte Sicherheitslücke in Citrix Netscaler wird aktuell massiv attackiert, warnen IT-Sicherheitsforscher.
Patchday Microsoft: Angreifer können sich zum Domänen-Admin machen
Am Patchday im August sind wichtige Sicherheitsupdates für unter anderem Exchange Server, Office und Windows erschienen.
Def Con 34: So einfach wird Microsofts Login-Seite zum Phishing-Service
Mit Microsofts Login authentifizieren sich Unternehmensnutzer inzwischen an etlichen Stellen. Jedoch lässt sich das ziemlich einfach zum Phishing missbrauchen.
Anonymisierendes Linux: Tails startet Test der 7er-Version
Die Maintainer des anonymisierenden Linux Tails haben einen ersten Release Candidate der Version 7.0 zum Testen herausgegeben.
WordPress-Websites mit Plug-in UiCore Elements verwundbar
Angreifer können WordPress-Seiten, die das Plug-in UiCore Elements installiert haben, ins Visier nehmen. Ein Sicherheitspatch steht zum Download bereit.
Abhören von Mobiltelefonen mit Radartechnik und KI möglich
Durch Sprache entstehende Mikrovibrationen an Mobiltelefonen können dazu genutzt werden, um mittels Radar und KI Gespräche abzuhören.
Sicherheitsupdate: Schadcode-Lücken bedrohen HCL Domino
Weil eine Komponente verwundbar ist, können Angreifer PCs mit HCL Domino attackieren. Bislang gibt es keine Berichte zu Attacken.
VMware ESXi, Fusion, Workstation: Admins patchen kritische Lücke nicht
Vor vier Wochen hat Broadcom ein Update zum Schließen einer kritischen Sicherheitslücke herausgegeben. Admins nutzen es jedoch kaum.
Tresorschlösser von SecuRam – so einfach haben es Panzerknacker
Ein Tresor sollte besonders sicher sein, insbesondere wenn er eine passende Zulassung hat. Doch wie wenig die bedeutet, müssen jetzt SecuRam-Kunden erfahren.
"Erfolgreiche Jailbreak-Angriffe auf GenAI arbeiten mit schädlichen Prompts"
Angriffe auf das Model Context Protocol häufen sich – keine Wunder, denn Anthropic hat es nicht in Hinblick auf Systemsicherheit entworfen, meint Mirko Ross.
SAP Patchday: Kritische Sicherheitslücken ermöglichen Einschleusen von Schadcode
Im August gibt SAP 15 neue Sicherheitsnotizen zu Schwachstellen in den Produkten heraus. Einige stellen ein kritisches Risiko dar.
So kann ein Angreifer die Whatsapp-Verschlüsselung herabstufen
Mehrere Schlüssel sichern Nachrichten im Signal-Protokoll, wie es Whatsapp nutzt. Einen können Angreifer ausschalten, was auch für Denial of Service taugt.
Was Whatsapp und Signal verraten, trotz Verschlüsselung
Signal ist berühmt für gute Ende-zu-Ende-Verschlüsselung, Whatsapp macht das nach. Zwei Österreicher zeigen auf der DEFCON, was die Messenger dennoch verraten.