Heise security
Sitecore: Angreifer können Schadcode einschleusen – ohne Anmeldung
Im Sitecore-CMS wurde eine kritische Sicherheitslücke ausgemacht, die Angreifern Einschleusen von Code erlaubt. Attacken laufen offenbar.
Kritische Infrastrukturen: Attacken auf industrielle Kontrollsysteme möglich
Es sind wichtige Sicherheitsupdates für industrielle Kontrollsysteme von unter anderem Hitachi erschienen. Ein Patch steht aber noch aus.
EuGH: Schmerzensgeld nach Datenpanne auch ohne materiellen Schaden möglich
Nach Datenschutzverstoß durch eine Bank: Ein Bewerber hat laut EuGH ein Recht auf Entschädigung bei einem Datenleck auch ohne konkreten materiellen Schaden.
Windows-Updates führen zu unerwarteten Benutzerkontensteuerungs-Prompts
Microsoft weist auf eine Nebenwirkung der August-Updates hin. Beim Start von MSI-Reparaturen kommen Benutzerkontensteuerungs-Prompts.
Serientäter bekennen sich zu IT-Angriff auf Jaguar Land Rover
Drei britische Verbrecherbanden haben sich offenbar zusammengetan. Sie prahlen mit der IT-Attacke auf Jaguar Land Rover.
Überlastungsattacke erreicht 11,5 TBit pro Sekunde
Cloudflare meldet einen neuen Rekord bei abgewehrten Überlastungsattacken (DDoS). Ein Angriff am Montag erreichte 11,5 TBit pro Sekunde.
Patchday: Kritische Schadcode-Lücke bedroht Android 15 und 16
Wichtige Sicherheitsupdates schließen mehrere Sicherheitslücken in verschiedenen Android-Versionen.
Datenleck durch Salesloft: Cloudflare, Palo Alto, Zscaler betroffen
Viele Unternehmen sind von der Salesloft-Drift-Schwachstelle betroffen. Auch große und namhafte wie Cloudflare, Palo Alto und Zscaler.
IT-Angriff auf Jaguar Land Rover: Produktion und Verkauf gestört
Jaguar Land Rover hat nach einem Angriff seine IT-Systeme heruntergefahren. Damit stocken Produktion wie Vertrieb.
Malware-Kampagne bei Facebook zielt auf Kryptoplattformen und Android
Bitdefender warnt vor einer globalen Malvertising-Kampagne auf Facebook, die an die Krypto-Werte von Android-Nutzern will.
"Darknet Diaries": heise online bringt deutsche Version des US-Podcasts
heise online startet eine deutsche Adaption des international erfolgreichen Podcasts „Darknet Diaries“.
Heimautomatisierung: ESPHome-Lücke erlaubt volle Kompromittierung
Eine Schwachstelle in ESPHome ermöglicht Angreifern unter anderem eigene Firmware zu flashen. Aktualisierte Software korrigiert das.
Google widerspricht: Keine größere Gmail-Sicherheitslücke
Berichte über eine weitreichende Gmail-Sicherheitswarnung sind falsch, schreibt Google. Ursprung davon könnte die Salesloft-Lücke sein.
Sicherheitslücken: DoS-Attacken auf IBM App Connect Enterprise möglich
Sicherheitsupdates schließen mehrere Schwachstellen in IBM App Connect Enterprise.
Qnap: Teils hochriskante Lücken in QTS und QuTS hero geschlossen
Aktualisierungen für die QTS- und QuTS-hero-Firmwares von Qnap-Geräten schließen als hochriskant eingestuft Sicherheitslücken.
Hintertür-Bericht: Britische Regierung will Vollzugriff auf iCloud
Noch immer ist nicht final entschieden, ob Apple britischen Strafverfolgern Zugriff auf iCloud geben muss. Nun wurde die ganze Datenbreite bekannt.
IT-Sicherheitslösung Acronis Cyber Protect Cloud Agent ist verwundbar
Ein Sicherheitsupdate schließt eine Schwachstelle in Acronis Cyber Protect Cloud Agent.
Passkeys für Chat-Backup: WhatsApp führt passwortlose Sicherung ein
WhatsApp führt die passwortlose Sicherungsfunktion über Passkeys für Chat-Backups ein. Derzeit steht sie Nutzern der Beta auf Android-Geräten zur Verfügung.
Salesloft Drift: Anmeldetoken für Datendiebstahl missbraucht
Die KI-Plattform Salesloft Drift hat ein Sicherheitsproblem, das Angreifer ausnutzen, um große Datenmengen etwa aus Salesforce abzuziehen.
BSI warnt vor Ausfällen – und meint offenbar Paypal
Bei digitalen Produkten sollte man auch darauf achten, was der Anbieter mit Blick auf Sicherheitsvorfälle bereitstellt, rät das BSI.