Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.527.223 Produkten

Sicherheitslücken Thema als Feed abonnieren

Als Sicherheitslücke bezeichnet man eine Fehlfunktion in einem Betriebssystem oder Anwendungsprogramm, durch die ein Angreifer Daten von einem Personalcomputer, Server oder Netzwerkgerät stehlen oder das Gerät unter seine Kontrolle bringen kann. Seltener kommt es vor, dass die Hardware sich missbrauchen lässt, wie zum Beispiel, wenn ein Servicepasswort fest verdrahtet wurde oder eine andere Hintertür zu Servicezwecken eingebaut wurde. Bei etlichen Routern wurden solche Lücken entdeckt.

Softwarelücken entstehen entweder durch klare Fehler des Programmierers oder durch eine unübliche Nutzung der Software, die der Programmierer kaum voraussehen konnte. Häufigster Programmierfehler ist die mangelhafte Kontrolle des Stacks, wodurch ein Angriff durch Pufferüberlauf möglich wird.

Eine weitere Klasse von Sicherheitslücken entstand durch die Entwicklung der Internet-Browser, denen – zum Teil durch Addons – immer mehr Funktionen zugebilligt wurden, mit denen Sie auf die Ressourcen des Hostcomputers zugreifen konnten.

  1. 106

    Google lässt noch eine Microsoft-Lücke vom Stapel

    Google lässt noch eine Microsoft-Lücke vom Stapel

    Oops, they did it again: Erneut hat Google detaillierte Informationen über eine Sicherheitslücke in einem Microsoft-Produkt veröffentlicht, bevor die Lücke geschlossen wurde. Dieses Mal trifft es Internet Explorer und Edge.

  2. 50

    Sicherheitspanne an New Yorker Flughafen besteht fast ein Jahr

    Landendes Flugeug

    Ein gravierender Konfigurationsfehler erlaubte freien Zugriff auf die Server-Backups des Stewart International Airport. Sogar Zugangsdaten zum Passagiermanagementsystem waren öffentlich einsehbar.

  3. 5

    Datenleaks durch Cloudflare-Fehler: 1Password gibt Entwarnung

    1Password-Apps

    Der auf Mac und iOS-Geräten beliebte Passwortmanager war von der Cloudbleed genannten Lücke zwar betroffen, Daten seien aber zusätzlich verschlüsselt gewesen.

  4. 180

    Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich

    Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich gemacht

    Durch Fehler in der Serversoftware von Cloudflare wurden monatelang sensible Informationen von Webseiten im Netz verteilt. Webseiten, die das CDN nutzen, schickten bei Anfragen den Speicherinhalt anderer Cloudflare-Seiten mit.

  5. 100

    Lokaler Root-Exploit im Linux-Kernel geschlossen

    Lokaler Root-Exploit im Linux-Kernel

    Ein Speicherverarbeitungsfehler führt dazu, dass lokale Benutzer sich Admin-Rechte erschleichen können. Die großen Linux-Distributionen sind momentan dabei, das Update an ihre Nutzer zu verteilen.

  6. 254

    DDoS-Untersuchung: Angriffe werden zum Problem für die Allgemeinheit

    DDoS-Untersuchung: Angriffe werden zum Problem für die Allgemeinheit

    Angriffe, die darauf abzielen, Webseiten lahmzulegen, werden seit Jahren häufiger. Die vergangenen Monate zeigen allerdings, dass diese Attacken viel weitreichendere Folgen haben können. Das geht aus einer Untersuchung der Sicherheitsfirma Link 11 hervor.

  7. 195

    Lücken in Java und Python umgehen die Firewall

    Lücken in Java und Python umgehen die Firewall

    Fehler in den FTP-Umsetzungen der Programmiersprachen Java und Python können dazu missbraucht werden, aus dem Netz Angriffe auf die Systeme auszuführen. Sicherheitsforscher empfehlen, Java zu deinstallieren, bis es ein Update gibt.

  8. 107

    Microsoft patcht Flash Player unter Windows außer der Reihe

    Microsoft patcht Flash Player unter Windows außer der Reihe

    Diesen Monat ist der Patchday trotz bekannter Sicherheitslücken in Windows ausgefallen. Nun liefert Microsoft zumindest Patches für kritische Lücken im Flash Player nach.

  9. 24

    Sicherheitsupdate: Angriff auf Lücke in OpenSSL kann Client und Server abstürzen lassen

    Sicherheitsupdate: Angriff auf Lücke in OpenSSL kann Client und Server abstürzen lassen

    Unter bestimmten Voraussetzungen können Angreifer Geräte, die OpenSSL 1.1.0 einsetzen, mit einer DoS-Attacke malträtieren.

  10. 46

    Google: Stagefright-Lücke bisher ohne ernste Folgen für Android-Nutzer

    3 Androiden

    Laut Google gibt es kaum komplexe Sicherheitslücken, die für Angriffe auf Android-Geräte missbraucht werden. Auch Stagefright war in der freien Wildbahn für keinen einzigen Angriff verantwortlich, so der Android-Sicherheitschef.

  11. 3

    Xen-Entwickler wollen weniger Sicherheitslücken offenlegen

    Xen-Entwickler wollen weniger Sicherheitslücken offen legen

    Die Entwickler des Virtualisierungssystems Xen wollen weniger Sicherheitslücken öffentlich machen. Damit wollen sie vor allem Arbeit sparen, sorgen aber auch für eine klarere Linie im Umgang mit Schwachstellen.

  12. 144

    Microsoft verschiebt Februar-Patches in den März

    Microsoft verschiebt Februar-Patches in den März

    Diesen Monat gibt es keine Sicherheitspatches von Microsoft. Die eigentlich geplanten Updates will das Unternehmen zum Patchday im März nachliefern. Aktuelle Sicherheitslücken in Windows & Co. bleiben somit offensichtlich für einen Monat ungepatcht.

  13. 12

    Cisco: Zwei VPN-Lücken und eine Schwachstelle, die offiziell keine ist

    Netzwerk-Switch

    Cisco hat Sicherheitslücken im AnyConnect-VPN und auf seinen ASA-Firewalls gestopft. Ein Sicherheitsproblem mit dem SMI-Protokoll, welches es aus der Ferne erlaubt, neue Betriebssystem-Images auf Switches zu laden, sieht die Firma allerdings nicht.

  14. 73

    Adobe-Patchday: Flash Player wie üblich in kritischem Zustand

    Adobe-Patchday: Flash Player wie üblich in kritischem Zustand

    Im Flash Player und Adobe Digital Editions klaffen kritische Lücken. Aktuell sind vor allem Windows-Nutzer von den Flash-Lücken bedroht. Adobe Campaign erhält ebenfalls Sicherheitsupdates.

  15. 198

    Patchday-Panne: Microsoft verschiebt Februar-Updates in letzter Minute Update

    Patchday-Panne: Microsoft verschiebt Februar-Updates

    Erstmals muss Microsoft seinen monatlichen Patchday auf unbestimmte Zeit verschieben. Über den genauen Grund schweigt sich das Unternehmen aus, einen neuen Termin gibt es bisher nicht.

  16. Sicherheitslücke: WebSphere kann Anmeldedaten leaken

    Verschiedene Versionen des IBM WebSphere Application Server sind angreifbar. Sicherheitspatches sind verfügbar.

  17. 120

    Jetzt patchen! Angriffe auf WordPress-Seiten nehmen zu und werden gefährlicher

    Jetzt patchen! Angriffe auf WordPress-Seiten nehmen zu und werden gefährlicher

    Nach der Verunstaltung von verwundbaren WordPress-Webseiten versuchen Angreifer nun Schadcode auszuführen, warnen Sicherheitsforscher.

  18. 14

    Sicherheitslücke in GarageBand für den Mac

    Sicherheitslücke in GarageBand für den Mac

    Apple hat einen potenziell problematischen Fehler in seiner populären Audioanwendung geschlossen. Angreifer hätten wohl Code ausführen können.

  19. 31

    Firefox für Android kann sich an Schadcode verschlucken

    Firefox für Android kann sich an Schadcode verschlucken

    In der Version 51.0.3 haben die Firefox-Entwickler eine kritische Sicherheitslücke geschlossen. Von der Schwachstelle ist ausschließlich die Android-Version betroffen.

  20. 5

    heisec-Konferenz: Komplexe Angriffe intelligent verteidigen

    heisec-Konferenz: Komplexe Angriffe intelligent verteidigen

    Im April und Mai geht heise Security wieder auf Tour: Im Rahmen der eintägigen Konferenz vermitteln unabhängige Referenten praxisrelevantes Wissen zur Abwehr von gezielten Angriffen und anderen Gefahren für den sicheren IT-Betrieb.

  21. 35

    Sicherheitslücken in Samsungs Android-Rüstung Knox gefährden System-Kernel

    Sicherheitslücken in Samsungs Android-Rüstung Knox gefährden Android-Kernel

    Ein Bug-Jäger von Googles Project Zero hat eigenen Angaben zufolge alle Mechanismen von Samsungs Sicherheitsplattform Knox zum Schutz des Android-Kernels umgangen.

  22. 10

    Valve schließt XSS-Schwachstelle in Spiele-Marktplatz Steam

    Valve schließt XSS-Schwachstelle in Spiele-Marktplatz Steam

    Über eine XSS-Lücke hätten Angreifer das Steam-Guthaben von Opfern plündern können, die das Steam-Profil des Angreifers besuchen.

  23. 116

    Sicherheits-Audit von Krypto-Messenger Wire abgeschlossen

    Sicherheits-Audit von Krypto-Messenger Wire abgeschlossen

    Zwei unabhängige Sicherheitsfirmen haben gründlich in den Ende-zu-Ende verschlüsselnden Messenger Wire geguckt. Dabei stießen sie auf keine kritischen Lücken.

  24. 67

    Denuvo: Fehlkonfigurierter Server gibt Interna der Sicherheitsfirma preis

    Denuvo: Fehlkonfigurierter Server gibt Interna Preis

    Über eine Lücke im Web-Server der Security-Firma konnten Nutzer offenbar Kontaktanfragen und Präsentationen abgreifen. Auch Hass-Mails erboster Spieler waren darunter.

  25. 36

    Kodi-Erweiterung machte Anwender zu Botnetz-Zellen Update

    Kodi-Erweiterung machte Anwender zu Botnetz-Zellen

    Anwender des Plug-ins "Exodus" für das Media-Center Kodi wurden zu unfreiwilligen Teilnehmern eines Botnets, das gezielte DDoS-Angriffe fuhr. Deren Ziel: Websites von Konkurrenten.

  26. 185

    Zero-Day-Lücke in SMB-Bibliothek von Windows Update

    Zero-Day-Lücke in SMB-Bibliothek von Windows soll viele Versionen gefährden

    Die Lücke soll sich mit wenig Aufwand ausnutzen lassen und Windows-Systeme zum Absturz bringen; potentiell könnten Angreifer auch Schadcode mit Kernel-Rechten ausführen, warnt das CERT der Carnegie Mellon University. Bislang gibt es noch keinen Patch.

  27. 220

    WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

    WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

    Mit dem jüngsten Update haben die Entwickler des beliebten CMS eine kritische Lücke gestopft und das Ausmaß des Problems absichtlich verharmlost, um Anwendern mehr Zeit zum Patchen zu geben. Leidtragende dieser Strategie sind Nutzer ohne Auto-Updates.

  28. 21

    Extrem kritische Lücke in Ciscos Prime Home könnte unzählige Router gefährden

    Extrem kritische Lücke in Ciscos Prime Home könnte tausende Router gefährden

    Internet- und Service-Anbieter sollten zügig ein Sicherheitsupdate für Cisco Prime Home installieren. Angreifer könnten Geräte mit wenig Aufwand missbrauchen und von da aus Router von Kunden übernehmen.

  29. VMware AirWatch könnte für gerootete Android-Geräte gefährlich werden

    Zwei vom Anbieter als wichtig eingestufte Sicherheitsupdates schließen zwei Lücken in verschiedenen AirWatch-Produkten für Android.

  30. 35

    Viele Lücken in tcpdump – Bedrohungen noch nicht in Gänze geklärt

    Netzwerkkabel

    Die aktuelle Version des Netzwerk-Sniffers rüstet sich gegen zahlreiche Schwachstellen, ist aber noch nicht überall verfügbar.

Anzeige