Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Sicherheitslücken Thema als Feed abonnieren

Als Sicherheitslücke bezeichnet man eine Fehlfunktion in einem Betriebssystem oder Anwendungsprogramm, durch die ein Angreifer Daten von einem Personalcomputer, Server oder Netzwerkgerät stehlen oder das Gerät unter seine Kontrolle bringen kann. Seltener kommt es vor, dass die Hardware sich missbrauchen lässt, wie zum Beispiel, wenn ein Servicepasswort fest verdrahtet wurde oder eine andere Hintertür zu Servicezwecken eingebaut wurde. Bei etlichen Routern wurden solche Lücken entdeckt.

Softwarelücken entstehen entweder durch klare Fehler des Programmierers oder durch eine unübliche Nutzung der Software, die der Programmierer kaum voraussehen konnte. Häufigster Programmierfehler ist die mangelhafte Kontrolle des Stacks, wodurch ein Angriff durch Pufferüberlauf möglich wird.

Eine weitere Klasse von Sicherheitslücken entstand durch die Entwicklung der Internet-Browser, denen – zum Teil durch Addons – immer mehr Funktionen zugebilligt wurden, mit denen Sie auf die Ressourcen des Hostcomputers zugreifen konnten.

  1. Sicherheitsupdates: Angreifer könnten Drupal-Webseiten ein bisschen umbauen

    Sicherheitsupdate: Angreifer könnten Drupal-Webseiten umbauen

    Nutzer von Drupal sollten zügig die aktuellen Versionen installieren. In diesen haben die Entwickler mehrere Sicherheitslücken geschlossen.

  2. 5

    Xen: Gast-VMs können sich Host-Rechte erschleichen

    Xen: Gast-VMs können sich Host-Rechte erschleichen

    Mehrere Sicherheitslücken in der Virtualisierungssoftware Xen erlauben es Angreifern, von Gast-Rechten auf Host-Rechte zu wechseln sowie den Hypervisor zum Absturz zu bringen.

  3. 175

    ShadowPad: Spionage-Hintertür in Admintools für Unix- und Linux-Server aufgedeckt

    ShadowPad: Spionage-Hintertür in Admintools für Unix- und Linux-Server aufgedeckt

    Eine raffinierte Hintertür wurde von Angreifern per korrekt signiertem Update an die Netzwerk-Admin-Tools der koreanischen Firma NetSarang ausgeliefert. Es dauerte mehr als zwei Wochen, bis der Spionage-Trojaner im Netz eines Bankinstitutes aufflog.

  4. Netzwerk-Simulator VMware NSX-V Edge für DoS-Attacke anfällig

    VMware stellt wichtige Sicherheitsupdates für seine Virtualisierungslösung NSX-V Edge bereit.

  5. 29

    Datenbank-Server PostgreSQL: Lücke lässt Anmeldung ohne Passwort zu

    Datenbank-Server PostgreSQL: Lücke lässt Anmeldung ohne Passwort zu

    Administratoren, die PostgreSQL-Datenbanken betreiben, sollten ihre Software updaten. Unter bestimmten Umständen können sich Angreifer an den Servern ohne Eingabe eines Passwortes anmelden, warnen die Entwickler.

  6. 16

    Gefährliche SSH-Befehle: Kritische Sicherheitslücke in GitLab

    Gefährliche SSH-Befehle: Kritische Sicherheitslücke in GitLab

    Viele Versionskontrollsysteme haben eine Sicherheitslücke, die es Angreifern ermöglicht, Schadcode auszuführen. Beim Webfrontend GitLab ist dies besonders brisant. Admins sollten Installationen der Software umgehend aktualisieren.

  7. Sicherheitsupdate: Symantecs Messaging Gateway ist für Schadcode empfänglich

    Mit der aktuellen Version haben die Entwickler zwei Sicherheitslücken in der Schutzlösung geschlossen.

  8. 47

    Hacken mit DNA: Forscher dringen mit manipuliertem DNA-Strang in Labor-Computer ein

    Forscher dringen mit manipuliertem DNA-Strang in Labor-Computer ein

    Zum ersten Mal ist es offenbar gelungen, mit Hilfe von DNA die Kontrolle über einen Computer zu übernehmen. Das Forscher-Team warnt vor künftigen Gefahren – räumt aber auch ein, dass ihr Angriff bislang wenig realistisch ist.

  9. 48

    Git, Mercurial, SVN: Versionskontrollsysteme über SSH-Befehle angreifbar

    Git, Mercurial, SVN: Versionskontrollsysteme über SSH-Befehle angreifbar

    So gut wie alle Versionskontrollsysteme lassen sich über einen Trick mit einer merkwürdigen SSH-URL dazu bringen, fast beliebige Befehle auszuführen. Patches stehen bereit.

  10. Sicherheitslücken in mehreren Jenkins-Plugins

    Durch das Ausnutzen von Schwachstellen in insgesamt zehn Plugins könnten Angreifer unter anderem erweiterte Zugriffsrechte erlangen.

  11. 53

    Monatliche Android-Patches im August: Und wieder grüßt der Media-Player

    Monatliche Android-Patches im August: Und wieder grüßt der Media-Player

    Google stellt, wie gewohnt, Sicherheitsupdates für Android-Geräte bereit. Alle kritischen Lücken in diesem Monat stecken in der Media-Player-Software des Mobilbetriebssystems.

  12. 115

    Die Geschichte von Junipers enteigneter Hintertür

    Die Geschichte von Junipers Hintertür

    In einem mehrfach ausgezeichneten Paper liefern Forscher eine Art Krypto-Krimi. Sie dokumentieren minutiös, wie der Netzwerkausrüster Juniper eine versteckte Hintertür in seine Produkte einbaute – und wie ein externer Angreifer sie später umfunktionierte.

  13. 199

    Hackercamp SHA2017: All Computers are broken

    Schrott, Hacker, Kunstmensch, Roboter, Feuer, Sicherheit

    ACAB mag in anderen Kreisen etwas anderes bedeuten, doch für Hacker ist die Sache klar: All Computers are broken. Das wurde auf dem niederländischen Hackercamp SHA2017 deutlich.

  14. 108

    US-Armee verbietet Truppen Nutzung von DJI-Drohnen

    CES in Las Vegas

    Die US-Armee hat ihre Einheiten in einem Memo dazu angewiesen, alle DJI-Drohnen und weitere Geräte des Herstellers zu deaktivieren und außer Betrieb zu nehmen. Sie begründet ihr Vorgehen mit Sicherheitsbedenken.

  15. 90

    Zwei Jahre alte Sicherheitslücken in Tomografen von Siemens Update

    ICS-CERT warnt vor Lücken in Kernspintomografen von Siemens

    Die für die Sicherheit von Industrieanlagen zuständige US-Behörde ICS-CERT weist auf gravierende Sicherheitslücken hin, die die Sicherheit von Siemens' medizinischen Diagnosegräten zur Tomographie gefährden.

  16. 34

    Cisco schließt Super-Admin-Lücke

    Server

    Der Netzwerkausrüster stellt elf Sicherheitsupdates für diverse Produkte bereit. Von den Lücken soll ein mittleres bis hohes Risiko ausgehen.

  17. Schwachstellensuche: Snyk untersucht nun auch Python, Gradle und Scala

    Schwachstellensuche: Snyk untersucht nun auch Python, Gradle und Scala

    Das Tool zum Vermeiden von Schwachstellen durch Einbinden von Open-Source-Code in eigene Projekte kann nun auch über pip integriere Python-Pakete untersuchen und die Build-Dateien von Gradle und Scala auswerten.

  18. Sicherheitspatches: Varnish anfällig für DoS-Attacke

    In verschiedenen Versionen von Varnish klafft eine Schwachstelle, über die Angreifer Server attackieren könnten.

  19. 41

    US-Senatoren bringen Gesetz für mehr Sicherheit im Internet der Dinge ein

    US-Senatoren bringen Gesetz für mehr Sicherheit im Internet der Dinge ein

    Vier demokratische und republikanische US-Senatoren haben ein Gesetz in Gang gebracht, durch das unter anderem Hersteller von IoT-Geräten Sicherheitsstandards zu beachten haben sollen.

  20. 62

    Sicherheitsbedenken: Amazon stoppt Verkauf von Blu-Smartphones

    Android

    Einige Smartphones der Firma Blu sind aus dem Angebot von Amazon verschwunden. Grund sind Funktionen des Firmware-Update-Mechanismus, über die Nutzerdaten an chinesische Server übertragen wurden.

  21. Sicherheitsupdates: VMware vCenter Server und Tools angreifbar

    Die Entwickler schließen mehrere Schwachstellen in ihrer Software. Keine Lücke gilt als kritisch.

  22. 129

    Ältere Amazon Echos lassen sich über Debug-Kontakte rooten

    Ältere Amazon Echos lassen sich über Debug-Kontakte rooten

    Amazons Echo-Lautsprecher lässt sich rooten, falls man an die Debug-Kontakte unter dem Gerät heran kommt. Angreifer können das Gerät so kapern und alles mithören, was im Umfeld des digitalen Assistenten gesagt wird.

  23. 266

    SMBloris füllt kompletten Arbeitsspeicher (enthält Videomaterial)

    Server

    Das Protokoll SMB in Windows ist in allen Versionen anfällig für eine Denial-of-Service-Attacke. Ein einzelner Angreifer kann den Arbeitsspeicher eines Servers zum Überlaufen bringen. Microsoft schließt einen Patch aus.

  24. 37

    NeoCoolCam: Chinesische IP-Kameras mit massiven Sicherheitslücken

    NeoCoolCam: Chinesische IP-Kameras haben "massive Sicherheitslöcher"

    Sicherheitsforscher haben wieder einmal gravierende Sicherheitslücken in IP-Kameras aufgedeckt. Mindestens 175.000 Geräte des Herstellers Shenzhen Neo Electronics lassen sich mit einfachen Mitteln aus dem Netz kapern.

  25. 78

    Reddoxx: Angreifer können TÜV-geprüfte Mail-Archivierungssoftware kapern

    Reddoxx: Angreifer können TÜV-geprüfte Mail-Archivierungssoftware kapern

    Ein einfacher Ping-Befehl, der über ein Admin-Interface ausgelöst wird lässt sich von jedermann aus der Ferne missbrauchen, um beliebigen Code auszuführen. So können Angreifer die E-Mail-Software für rechtssichere Archivierung übernehmen.

  26. 48

    Microsoft Outlook: Wichtige Sicherheitsupdates schließen Lücken

    Microsoft Outlook: Wichtige Sicherheitsupdates schließen Lücken

    In Outlook klaffen drei Schwachstellen. Nutzen Angreifer diese aus, können sie schlimmstenfalls die Kontrolle über Computer erlangen.

  27. 127

    Nissan Leaf hacken dank Uralt-Bug aus dem iPhone

    Nissan Leaf hacken dank Uralt-Bug aus dem iPhone

    Hacker entdeckten, dass eine zentrale Komponente der Bordelektronik des Elektroautos Nissan Leaf einen Baseband-Chip verwendet, der sich schon im allerersten iPhone fand und anfällig ist für iPhone-Exploits aus dem Jahr 2010.

  28. 79

    Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken

    Computervirus

    Mindestens vier Virenscanner, die verdächtige Daten zur Analyse in die Cloud hochladen, helfen beim Datenklau von ansonsten in ihrer Kommunikationsfähigkeit beschränkten PCs. Auch Virustotal ist betroffen.

  29. 311

    Sicherheitstechnik einer smarten Pistole geknackt (enthält Videomaterial)

    Hacker knackt Sicherheitsmechanismen von "smarter" Pistole

    Ein Hacker namens Plore hat offenbar mehrere Möglichkeiten gefunden, die Sicherheitsmechanismen der "smarten" Pistole iP1 des Herstellers Armatix auszuhebeln. So kann sogar Notwehr unmöglich werden.

  30. 20

    Black Hat: Strahlungsmessgeräte per Funk manipulierbar

    Black Hat: Strahlungsmessgeräte per Funk manipulierbar

    Ein Hacker hat Sicherheitslücken in stationären und mobilen Messgeräten für radioaktive Strahlung gefunden. Kriminelle könnten so radioaktives Material durch Kontrollen schleusen oder Fehlalarme in Kernreaktoren auslösen. Updates wird es nicht geben.

Anzeige