Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Sicherheitslücken Thema als Feed abonnieren

Als Sicherheitslücke bezeichnet man eine Fehlfunktion in einem Betriebssystem oder Anwendungsprogramm, durch die ein Angreifer Daten von einem Personalcomputer, Server oder Netzwerkgerät stehlen oder das Gerät unter seine Kontrolle bringen kann. Seltener kommt es vor, dass die Hardware sich missbrauchen lässt, wie zum Beispiel, wenn ein Servicepasswort fest verdrahtet wurde oder eine andere Hintertür zu Servicezwecken eingebaut wurde. Bei etlichen Routern wurden solche Lücken entdeckt.

Softwarelücken entstehen entweder durch klare Fehler des Programmierers oder durch eine unübliche Nutzung der Software, die der Programmierer kaum voraussehen konnte. Häufigster Programmierfehler ist die mangelhafte Kontrolle des Stacks, wodurch ein Angriff durch Pufferüberlauf möglich wird.

Eine weitere Klasse von Sicherheitslücken entstand durch die Entwicklung der Internet-Browser, denen – zum Teil durch Addons – immer mehr Funktionen zugebilligt wurden, mit denen Sie auf die Ressourcen des Hostcomputers zugreifen konnten.

  1. 40

    Kommentar: Microsoft sollte Windows-Sicherheit endlich ernst nehmen

    Kommentar: Microsoft sollte Windows-Sicherheit endlich ernst nehmen

    Für Microsoft sind Sicherheitsupdates nicht wichtig genug, um sie außerhalb des Patchdays auszuliefern. Das ist eine unverständliche Priorisierung, findet Fabian Scherschel.

  2. Joomla 3.7: Unkritische Schwachstellen ausgebügelt

    Das Content Managment System ist in einer aktualisierten Version erschienen. Neben neuen Funktionen haben die Entwickler auch mehrere Sicherheitslücken gestopft.

  3. 12

    Kritische Lücken: VMware sichert Anwendungen gegenüber Schadcode ab Update

    Kritische Lücken: VMware sichert Anwendungen gegenüber Schadcode ab

    Sicherheitsupdates schließen mehrere Schwachstellen in verschiedenen VMware-Anwendungen zum Umgang mit virtuellen Maschinen und für den Fernzugriff. Davon sind alle Betriebssysteme betroffen.

  4. 2

    Adobe patcht ColdFusion außer der Reihe

    Adobe patcht ColdFusion außer der Reihe

    Sicherheitsupdates schließen zwei Lücken in der Middleware. Adobe empfiehlt, diese zügig zu installieren.

  5. SAP NetWeaver durch Lücken gefährdet

    In verschiedenen Komponenten der NetWeaver-Plattform klaffen Sicherheitslücken. Sicherheitsforschern zufolge könnten Angreifer über die Schlupflöcher unter anderem an Log-in-Daten kommen.

  6. 4

    Sicherheitspatches in Sicht: Zehn Lücken gefährden Linksys-Router

    Sicherheitspatches in Sicht: Zehn Lücken gefährden Linksys-Router

    Verschiedene Modelle der Smart-Wi-Fi-Serie von Linksys sind laut Sicherheitsforschern angreifbar. Unter gewissen Voraussetzungen sollen Angreifer Befehle auf Routern ausführen können.

  7. 16

    Angreifer könnten Drupal-Webseiten ausspionieren

    Angreifer könnten Drupal-Webseiten ausspionieren

    Im Versionsstrang 8.x klafft eine als kritisch eingestufte Sicherheitslücke. Abgesicherte Versionen schließen die Schwachstelle.

  8. Sicherheitsupdate: Angreifer könnten Inhalte von Confluence-Wikis einsehen

    Wer Confluence einsetzt, sollte eine der ab sofort verfügbaren abgesicherte Version installieren.

  9. 93

    Passwortmanager Lastpass patzt bei Zwei-Faktor-Authentifizierung

    Lastpass patzt bei Zwei-Faktor-Authentifizierung

    Die Entwickler das Passwortmanagers haben elementare Fehler begangen, die die Zwei-Faktor-Authentifizierung ad absurdum führten, warnt ein Sicherheitsforscher.

  10. 86

    "XMR Squad": Hacker-Gruppe greift deutsche Websites an

    "XMR Squad": Hacker-Gruppe greift deutsche Websites an

    Ein auf DDoS-Attacken spezialisiertes "Hackerkollektiv" hat in den letzten Tagen die Websites mehrerer deutscher Unternehmen angegriffen, darunter die der DHL, von Hermes und AldiTalk.

  11. 7

    Sicherheitsprobleme bei preiswerten Studioblitzgeräten

    Sicherheit bei preiswerten Studioblitzgeräten

    Neben verschiedenen Gerätetypen der chinesischen Marke Jinbei haben auch andere Studioblitzgeräte ein konstruktionsbedingtes Sicherheitsproblem. Einige davon können vom Fachmann durch den Einbau eines Kondensators kostengünstig beseitigt werden.

  12. Denial-of-Service-Lücken in Cisco-Firewalls geschlossen

    Cisco

    Cisco hat mehrere Lücken in seinen ASA-Appliances und der IOS-Software geschlossen, die von Angreifern missbraucht werden können, um die Firewall-Systeme lahmzulegen.

  13. 21

    Browser-Updates für Chrome und Firefox stopfen kritische Lücken

    Browser-Updates für Chrome und Firefox stopfen kritische Lücken

    Sowohl Google als auch Mozilla haben kritische Sicherheitslücken in ihren Web-Browsern gestopft. Diese können von Angreifern für Drive-By-Attacken missbraucht werden.

  14. 247

    Black Duck: Open Source ist allgegenwärtig – und gefährlich

    Black Duck: Open Source ist allgegenwärtig – und gefährlich

    Zahlreiche kommerzielle Anwendungen nutzen Open-Source-Komponenten – häufig allerdings in so alten Versionen, dass sie Sicherheitslücken mitbringen.

  15. 45

    Lücke im Magento-Shopsystem seit November ungestopft

    Lücke im Magento-Shopsystem seit November ungestopft

    Vor fünf Monaten fanden Sicherheitsforscher eine Lücke im verbreiteten Online-Shopsystem Magento, über die sich beliebiger Code ausführen lässt. Der Hersteller bestätigte die Lücke, hat sie aber seitdem nicht beseitigt.

  16. 84

    Samsung: Keine Sicherheitslücken in Smart-TVs

    Samsung: Keine Sicherheitslücken in Smart-TVs

    Der Elektronikkonzern will die Sicherheit seines in die Kritik geratenen Betriebssystems Tizen ins rechte Licht rücken und verkündet, dass weder Smart TVs noch Smartwatches von den "angeblichen Sicherheitslücken" betroffen sind.

  17. 85

    Geheimbericht: Bundestagsnetze sollen "zahlreiche Sicherheitslücken" haben

    Geheimbericht: Bundestagsnetze sollen "zahlreiche Sicherheitslücken" haben

    Die Netze des Bundestages sind unsicher, so ein geheimer Bericht der Pentesting-Firma Secunet. Was sich erschreckend liest, wäre bei einem mittelgroßen Unternehmen aber nichts ungewöhnliches: Der Unterschied ist die Bedeutung des Bundestags.

  18. 5

    Großpatchtag bei Juniper: Viele Security-Update für Junos OS und Co.

    Großpatchtag bei Juniper: Viele Security-Update für Junos OS und Co.

    Der Netzwerkausrüster Juniper hat Admins gleich eine ganze Reihe von Patches ins Osternest gelegt. Die Security-Updates schließen Lücken, durch die ein Angreifer schlimmstenfalls beliebige Befehle einschleusen kann.

  19. SAP schließt kritische Lücke in der Search Engine TREX

    SAP schließt kritische Lücke in der Search Engine TREX

    TREX ist in über einem Dutzend SAP-Produkten verbaut und erlaubte fast zwei Jahre das Einschleusen und Ausführen von Code. Diese und 14 weitere Lücken schließt der Hersteller im Rahmen des April-Patchdays.

  20. 107

    Patchday: Microsoft sichert Office gegen aktive Angriffe ab Update

    Patchday: Microsoft patcht Zero-Day-Lücke in Office

    Im April verteilt Microsoft zwölf Sicherheitsupdates und stopft mehrere als kritisch eingestufte Schwachstellen. Aktuell haben es Angreifer gezielt auf eine Office-Lücke abgesehen.

  21. 115

    Dridex: Botnetz verteilt millionenfach Angriffs-Mails auf ungepatchte Office-Lücke Update

    Dridex-Botnetz verteilt millionenfach Angriffs-Mails auf ungepatchte Office-Lücke

    Das riesige Necurs-Botnetz verteilt momentan Millionen von Spam-Mails, an denen Schadcode anhängt, der auf die Zero-Day-Lücke abzielt, die Microsoft im Laufe des heutigen Tages fixen will. Auch das CERT des Bundes warnt vor Angriffen.

  22. 90

    Patch in Sicht: Zero-Day-Lücke in Microsoft Office

    Patch in Sicht: Zero-Day-Lücke in Microsoft Word

    Sicherheitsforscher warnen vor präparierten Word-Dokumenten, mithilfe derer Angreifer Schadcode auf Computern ausführen können. Ein Patch ist noch nicht verfügbar. Ein Sicherheitsmechanismus dämmt die Bedrohung zumindest ein.

  23. 197

    Sicherheitsforscher: IoT-Hersteller machen es Bugjägern unnötig schwer

    IoT-Hersteller machen es Bugjägern unnötig schwer

    Ein Sicherheitsexperte hat nicht nur diverse Bugs in Kameras, NAS-Laufwerken, mobilen Routern oder einem Retinascanner gefunden, sondern auch dokumentiert, wie wenig die betroffenen Hersteller mit solchen Meldungen anfangen können.

  24. 15

    Qubes-Entwickler warnen vor gefährlicher Xen-Lücke

    Qubes-Entwickler warnen vor gefährlicher Xen-Lücke

    Über eine Lücke in der Paravirtualisierung von Xen kann ein Gastsystem den kompletten Speicher des Hosts auslesen. Auch die auf Sicherheit ausgelegte Linux-Distribution Qubes ist betroffen.

  25. Cisco Access Points: Zugriff mit offenen Default-Accounts

    Bis zum Mittwoch konnten sich Angreifer mittels Default-Zugangsdaten Zugriff auf Cisco WLAN Access Points der Aeronet-Serie verschaffen. Ein Sicherheits-Update fixt das. Drei weitere schließen Einfallstore für DoS-Angriffe auf WLAN-Controller.

  26. 15

    Pegasus: Android-Version des raffinierten Staatstrojaners aufgetaucht

    Pegasus: Bisher raffinierteste Spionagesoftware für Android seziert

    Ist ein Smartphone mit Pegasus infiziert, können die Angreifer Audio und Video vom Gerät streamen und Ende-zu-Ende verschlüsselte Nachrichten mitlesen. Die Malware verfügt sogar über einen Selbstzerstörungsknopf, der per SMS ausgelöst werden kann.

  27. 344

    Svakom Siime Eye: Vernetzter Kamera-Vibrator ist ein Sicherheitsalptraum

    Svakom Siime Eye: Vernetzter Kamera-Vibrator als Privacy-Alptraum

    Nein, das ist kein Scherz. Ein vernetzter Dildo mit Kamera ist eklatant unsicher und erlaubt es jedem in Funkreichweite, den Videostream abzugreifen. Nein, wir wissen auch nicht, warum man so ein Gerät kaufen wollte.

  28. 232

    Betriebssystem Tizen für Samsung-Geräte von Sicherheitslücken durchsiebt

    Betriebssystem Tizen für Samsung-Geräte von Sicherheitslücken durchsiebt

    Ein Sicherheitsforscher hat den Code von Samsungs Tizen analysiert und zieht ein desaströses Resümee. Das Betriebssystem dient als Basis für mobile Geräte und Fernseher des Herstellers.

  29. 57

    WLAN-Lücke: Apple reicht Bugfix-Update für iOS 10.3 nach Update

    iPhone 7

    iOS 10.3.1 behebt einen schwerwiegenden Fehler, über den ein Angreifer Code auf dem WLAN-Chip ausführen könnte. Außerdem lassen sich 32-Bit-Versionen nun wieder direkt auf dem Gerät installieren.

  30. 10

    Weitere Lücke in LastPass geschlossen, neue Version verfügbar

    Weitere Lücke in LastPass geschlossen, neue Version verfügbar

    LastPass hat eine vor wenigen Tagen gefundene Sicherheitslücke in seinen Erweiterungen für diverse Browser geschlossen. Anwender sollten umgehend aktualisieren.

Anzeige