Ihr Browser wurde leider nicht Erkannt
BitSicher°
  • Meldungen°
  • Programme°
  • Ratschläge°
  • Softwareaktualisierung°
  • Kurzmitteilung

    iOS 9.3.5 Sicherheitsupdate

    25. August, 2016 Meldungen°
    Quelle: Apple

    Für iOS wurde eine wichtiges Sicherheitsupdate Veröffentlicht und wird allen iPhone und iPad Besitzern dringend empfohlen zu installieren. Mit diesem Update werden insgesamt drei Sicherheitslücken geschlossen, wovon zwei im Kernel und einer im WebKit zu finden sind. 

    Microsoft schließt auch im August kritische Lücken in IE, Edge und Windows

    10. August, 2016 Meldungen°

    Microsoft hat an seinem August-Patchday neun Sicherheitsupdates veröffentlicht, die insgesamt 34 Schwachstellen beseitigen. Als kritisch stuft das Unternehmen Anfälligkeiten in Internet Explorer, Edge und der Microsoft-Grafikkomponente ein. Davon betroffen sind Windows Vista, 7, 8.1, RT 8.1, 10, Server 2008 und Server 2012. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen.

    In Internet Explorer 9, 10 und 11 stecken insgesamt neun sicherheitsrelevante Fehler. Sie lassen sich unter anderem durch speziell gestaltete Websites ausnutzen – ein Hacker muss sein Opfer nur dazu bringen, eine solche Seite mit dem Microsoft-Browser zu öffnen. Allerdings erhält ein Angreifer nur die Rechte des angemeldeten Nutzers. Um die die vollständige Kontrolle über ein betroffenes System zu erhalten, werden Administratorrechte benötigt, die ein Standardnutzerkonto nicht hat. Gleiches gilt auch für die acht Löcher, die das Update MS16-096 in Edge stopft.

    Die drei Bugs in der Microsoft-Grafikkomponente betreffen nicht nur alle unterstützten Windows-Versionen, sondern auch Office 2007 und 2010 sowie Skype for Business 2016, Microsoft Lync 2013 und Lync 2010. Neben präparierten Websites können dem Bulletin MS16-097 zufolge auch speziell entworfene Dokumente, die ein Benutzer öffnet, eine Remotecodeausführung auslösen.

    Weiterlesen

    GoToMyPC meldet Verlust von Zugangsdaten

    20. Juni, 2016 Meldungen°

    Der Fernzugriffsdienst GoToMyPC hat Zugangsdaten von Kunden verloren und daher deren Passwörter zurückgesetzt. Mit den Daten hätten die Diebe auf die PCs der Nutzer zugreifen und sämtliche Daten stehlen sowie Kontrolle über das System erhalten können.

    Wie der hinter GoToMyPC stehende Anbieter Citrix erklärte, handelte es sich um einen „äußerst raffinierten Passwort-Angriff“. Vor einem erneuten Log-in werden Kunden nun aufgefordert, ihre Passwörter zurückzusetzen. „Wir bitten für diese Unannehmlichkeit und den Ärger aufrichtig um Entschuldigung, den dieses Problem vielleicht verursacht.“

    Eine Zahl entwendeter Passwörter nannte Citrix nicht. Die Ermittlungen hielten noch an. Auch steht noch nicht endgültig fest, welche Daten die Hacker erlangt haben – und ob die Passwörter gehasht waren oder im Klartext vorlagen.

    Weiterlesen

    Kreditkartenklau: Acer warnt 34.500 Kunden in Nordamerika

    20. Juni, 2016 Meldungen°

    Acer hat die kalifornische Staatsanwaltschaft und Betroffene informiert, dass ihm zwischen Mitte Mai 2015 und Ende April 2016 etwa 34.500 Kundendaten gestohlen wurden. Sie stammten aus seinem Online-Store und umfassten Kreditkartennummer, Name und Adresse.

    Dem Anbieter zufolge gab es keinen Hinweis, dass auch Log-in-Namen oder Passwörter eingesehen wurden. Das Unternehmen kann dies aber noch nicht vollständig ausschließen. Betroffen sind nach seinen Angaben ausschließlich Kunden in den USA, Kanada und Puerto Rico.

    Der Brief an die Kunden (PDF) ist online verfügbar. Nutzer, die Betrug vermuten, werden gebeten, sich an die Polizei zu wenden. Zudem weist Acer darauf hin, dass es keine Sozialversicherungsnummern sammelt, die in den USA gefährlich oft bei telefonischen Nachfragen als Identitätsnachweis genügen.

    Weiterlesen

    Pentagon: Hacker finden 138 Sicherheitslücken

    20. Juni, 2016 Meldungen°

    US-Verteidigungsminister Ashton Carter hat die Ergebnisse des Wettbewerbs „Hack the Pentagon“ offiziell bekannt gegeben. Demnach reichten über 250 von 1400 eingeladenen Teilnehmern Berichte über Schwachstellen ein. 138 Sicherheitslücken erwiesen sich als „legitim, einzigartig und qualifiziert für eine Prämie“. Carter erwähnte zugleich, dass alle Lücken inzwischen in Zusammenarbeit mit dem Unternehmen HackerOne aus dem Silicon Valley geschlossen wurden.

    Die Auszahlungen beliefen sich von rund 100 Dollar bis zu 15.000 Dollar für einen Teilnehmer mit mehreren Einreichungen. Bei dem zwischen dem 18. April und dem 12. Mai veranstalteten Hackerwettbewerb handelte es sich um ein Pilotprogramm. Es kostete insgesamt 150.000 Dollar. „Das ist keine kleine Summe“, sagte Carter. „Aber wenn wir die übliche Verfahrensweise gewählt und eine Firma von außerhalb mit einer Sicherheitsüberprüfung und der Evaluierung von Schwachstellen beauftragt hätten, hätte uns das weit über eine Million Dollar gekostet.“

    Der Minister erklärte das Programm daher zu einer kostengünstigen Methode, um die Mitarbeiter zu unterstützen, die mit der Verteidigung der Computernetzwerke betraut sind. Die Behörde investiere aggressiv in Innovation einschließlich Menschen, Methoden und Technologien. Der Hackerwettbewerb habe all diese Elemente „mit beträchtlichem Erfolg“ kombiniert.

    Weiterlesen

    Adobe stopft kritische Sicherheitslücken in Flash Player

    17. Juni, 2016 Softwareaktualisierung°

    Adobe hat insgesamt 36 Sicherheitslücken in Flash Player behoben, darunter mehrere kritische Lücken. Die verfügbaren Updates für Windows, Mac, Linux und Chrome OS beheben Schwachstellen, die Angreifern erlauben könnten, die Kontrolle über ein System zu übernehmen.

    Bei Windows und Mac sind Flash Player 21.0.0.242 und frühere Versionen betroffen. Adobe empfiehlt dringend die sofortige Aktualisierung auf die Version 22.0.0.192 über den integrierten Update-Mechanismus oder direkt vom Adobe Flash Player Download Center, das auch Updates für weitere Plattformen bereithält.

    In seinem Security Bulletin weist der Hersteller außerdem darauf hin, dass ein Exploit für die Sicherheitslücke CVE-2016-4171 bereits in Umlauf ist und „in begrenztem Umfang für gezielte Attacken eingesetzt“ wird. Er bezieht sich damit auf die von der Sicherheitsfirma Kaspersky vor einigen Tagen enthüllte neue Zero-Day-Lücke in Flash Player. Sie wird laut Kaspersky von einer Hackergruppe verwendet, die das russische Unternehmen „ScarCruft“ nennt und für Angriffe in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien benutzt – und zwar schon seit März 2016.

    Weiterlesen

    macOS 10.12 Sierra verbessert Malwareschutz

    16. Juni, 2016 Meldungen°
    Quelle: Apple

    Apple hat während der Entwicklerkonferenz WWDC auch Änderungen für den Malwareschutz von macOS 10.12 Sierra angekündigt. Wie 9to5Mac berichtet, erlaubt Gatekeeper in den Systemeinstellungen keine Ausnahmen mehr für unsignierte Apps. Stattdessen können Nutzer nur festlegen, ob Sie Apps ausschließlich über den App Store oder über den App Store und von zugelassenen Entwicklern beziehen wollen.

    Unsignierte Apps kann macOS 10.12 trotzdem weiterhin ausführen. Es gibt dem Bericht zufolge lediglich keine Einstellung mehr, die dies generell erlaubt. Stattdessen müssen Nutzer mit der rechten Maustaste auf die fragliche unsignierte App tippen und „Öffnen“ auswählen. Allerdings soll sich mit dem Terminal-Befehl „sudo spctl –master-disable“ das bisher bekannte Verfahren wieder aktivieren lassen.

    Die zweite Änderung sei für Nutzer nicht sichtbar. Sie begrenze den Schaden, den eine gefährliche App anrichten könne. Unsignierte Apps würden zwar weiterhin im Anwendungsordner angezeigt, tatsächlich wähle macOS 10.12 jedoch einen zufälligen Speicherort auf der Festplatte.

    Weiterlesen

    Microsoft schließt kritische Lücken in Windows, IE, Edge und Office

    16. Juni, 2016 Softwareaktualisierung°

    Microsoft hat an seinem Juni-Patchday 16 Sicherheitsbulletins veröffentlicht, die mehr als 40 Schwachstellen beschreiben. Als kritisch sind unter anderem Sicherheitslücken in Internet Explorer, Edge, Windows und Office eingestuft. Angreifer könnten sie ausnutzen, um Schadcode einzuschleusen und die vollständige Kontrolle über ein betroffenes System zu übernehmen.

    In Internet Explorer 9, 10 und 11 stecken insgesamt 10 Anfälligkeiten, die eine Remotecodeausführung erlauben. In Edge für Windows 10 sind es acht. Nutzer beider Browser muss ein Hacker lediglich zum Besuch einer speziell gestalteten Website verleiten, um die Anfälligkeiten ausnutzen zu können.

    Ein kumulatives Sicherheitsupdate für JScript und VBScript beseitigt indes kritische Fehler in Windows Vista und Server 2008. Ein Patch für den Windows DNS Server betrifft nur Windows Server 2012 und 2012 R2. Weitere vier kritische Bugs bedrohen Nutzer von Excel, Visio und Word 2007, Office sowie Excel, Visio und Word 2010, Visio und Word 2013, Office 2013 RT und Office, Visio und Word 2016. Dieses Update stellt Microsoft aber auch für Office für Mac 2011, Office 2016 für Mac und das Office Compatibility Pack und Word- und Visio-Viewer zur Verfügung.

    Weiterlesen

    Apple Safari versteckt Flash und Java

    15. Juni, 2016 Meldungen°

    Apples Browser Safari 10 wird unter macOS Websites gegenüber so tun, als seien Plug-ins wie Adobe Flash, Microsoft Silverlight, Oracle Java und auch das eigene Quicktime nicht installiert. Dadurch soll immer HTML5 zum Einsatz kommen, wenn eine Funktion sowohl via Plug-in als auch via HTML5 angeboten wird.

    In der Praxis können Webserver den Browser-Properties navigator.plugins und navigator.mimeTypes nicht mehr entnehmen, ob solche Plug-ins installiert sind. „Auf Websites, die sowohl Flash als auch HTML5-Implementierungen von Inhalten anbieten, erleben Safari-Nutzer nun immer die moderne HTML5-Implementierung, was zu mehr Geschwindigkeit und Akkulaufzeit führt“, schreibt Apple-Entwickler Ricky Mondello in einem Blogbeitrag. „Diese Richtlinie und ihre Vorteile gelten für alle Websites gleichermaßen. Safari hat keine Liste mit Ausnahmen eingebaut. Sollte eine Website tatsächlich ein traditionelles Plug-in erfordern, können es die Nutzer für sie explizit aktivieren.“

    Das heißt, dass auf Sites ohne HTML5-Alternative ein Nachfragedialog erscheint. Der Anwender kann dann einwilligen, etwa Flash zu nutzen. Für eingebettete Flash-Objekte erscheint bis dahin ein Platzhalter, sie lassen sich aber durch Anklicken aktivieren.

    Weiterlesen

    Kaspersky und Adobe warnen vor kritischer Zero-Day-Lücke in Flash Player

    15. Juni, 2016 Meldungen°

    Kaspersky hat eine neue Zero-Day-Lücke in Adobes Flash Player entdeckt. Sie wird von einer Hackergruppe verwendet, die das russische Unternehmen „ScarCruft“ nennt. Die Schwachstelle wird demnach für Angriffe in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien benutzt – und zwar schon seit März 2016. Adobe stuft sie in einem gestern veröffentlichten Advisory als kritisch ein.

    Die Anfälligkeit steckt in Flash Player 21.0.0.242 und früher für Windows, Mac OS X, Linux und Chrome OS. Adobe geht davon aus, dass ein Angreifer unter Umständen einen Absturz der Anwendung auslösen und auch die vollständige Kontrolle über ein betroffenes System übernehmen kann. Das bedeutet, dass wohl auch Drive-by-Downloads möglich sind. Ein Opfer müsste also nur auf eine speziell präparierte Website gelockt werden, die dann ohne weitere Interaktion mit dem Nutzer Schadsoftware einschleust und ausführt.

    „Adobe ist ein Bericht bekannt, wonach ein Exploit für CVE-2016-4171 im Umlauf ist und für wenige zielgerichtete Angriffe benutzt wird“, heißt es in Adobes Sicherheitsmeldung. „Adobe wird diese Anfälligkeit mit dem monatlichen Sicherheitsupdate schließen, das am 16. Juni erhältlich sein wird.“

    Weiterlesen