Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Sicherheitslücken Thema als Feed abonnieren

Als Sicherheitslücke bezeichnet man eine Fehlfunktion in einem Betriebssystem oder Anwendungsprogramm, durch die ein Angreifer Daten von einem Personalcomputer, Server oder Netzwerkgerät stehlen oder das Gerät unter seine Kontrolle bringen kann. Seltener kommt es vor, dass die Hardware sich missbrauchen lässt, wie zum Beispiel, wenn ein Servicepasswort fest verdrahtet wurde oder eine andere Hintertür zu Servicezwecken eingebaut wurde. Bei etlichen Routern wurden solche Lücken entdeckt.

Softwarelücken entstehen entweder durch klare Fehler des Programmierers oder durch eine unübliche Nutzung der Software, die der Programmierer kaum voraussehen konnte. Häufigster Programmierfehler ist die mangelhafte Kontrolle des Stacks, wodurch ein Angriff durch Pufferüberlauf möglich wird.

Eine weitere Klasse von Sicherheitslücken entstand durch die Entwicklung der Internet-Browser, denen – zum Teil durch Addons – immer mehr Funktionen zugebilligt wurden, mit denen Sie auf die Ressourcen des Hostcomputers zugreifen konnten.

  1. 14

    Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

    Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

    Durch eine kritische Lücke im Content-Management-System Drupal können Angreifer eigenen PHP-Code auf dem Server ausführen. Eine weitere Schwachstelle missbrauchen Spammer bereits, um Werbung zu hosten.

  2. 80

    Windows-Trojaner nutzt NSA-Hintertür um verdeckt Kryptowährungen zu schürfen

    Windows-Trojaner nutzt NSA-Hintertür um verdeckt Kryptowährungen zu schürfen

    Die DOUBLEPULSAR-Hintertür der NSA wird momentan missbraucht, um ungeschützte Windows-Rechner mit einem Trojaner zu infizieren, der heimlich die Kryptowährung Monero (XMR) schürft.

  3. 66

    Sicherheitslücken: Angreifer könnten OpenVPN crashen

    Sicherheitslücken: Angreifer könnten OpenVPN crashen

    Ein Sicherheitsforscher hat Schwachstellen in OpenVPN entdeckt, die offensichtlich bei jüngst abgeschlossenen Audits übersehen wurden. Sicherheitsupdates stehen bereit.

  4. 136

    Stack Clash: Schwachstelle führt zu Rechteausweitung auf Linux- und BSD-Systemen

    Stack Clash: Schwachstelle führt zu Rechteausweitung auf Linux- und BSD-Systemen

    Die Stack Guard Page sollte eigentlich Stack-Overflow-Angriffe verhindern. Nun haben Sicherheitsforscher herausgefunden, wie man diesen Schutz von Unix-Systemen umgehen, oder besser: überspringen, kann.

  5. 154

    Cherry Blossom: CIA betreibt angeblich Router-Botnet

    Cherry Blossom, das Router-Botnet der CIA

    Die CIA soll Router als Horchposten nutzen. Dazu wird anscheinend eine manipulierte Firmware auf den Geräten installiert. Dies geht aus Dokumenten hervor, die Wikileaks aus dem Vault-7-Fundus geleakt hat.

  6. 100

    Kein Patch für Denial-of-Service-Lücke in Windows Server

    Kein Patch für Lücke in WINS auf Windows Server

    Im Windows Internet Name Service (WINS) von Windows Server klafft eine Denial-of-Service-Lücke, die Microsoft nicht patchen wird – der Aufwand sei zu groß. Wer den Dienst noch nutzt, soll stattdessen auf DNS ausweichen.

  7. 49

    Patchday: Adobe stopft kritische Lücken in Flash

    Patchday: Adobe stopft kritische Lücken in Flash

    Adobe hat am allmonatlichen Patchday kritische Lücken im Flash-Player, in Shockwave und in der eBook-Software Digital Editions veröffentlicht. Für Adobe Captivate gibt es ebenfalls einen Patch.

  8. 418

    Patchday: Microsoft sichert XP und Vista ab, warnt vor neuem WannaCry

    Patchday: Microsoft sichert XP und Vista ab, warnt vor neuem WannaCry

    In einem bisher nicht dagewesenen Schritt hat Microsoft am Patchday Updates für Windows-Versionen ausgeliefert, die nicht mehr unterstützt werden. Die Firma entschloss sich dazu, da sie weitere WannaCry-ähnliche Attacken befürchtet.

  9. 32

    Netzwerkkameras von Foscam sind nach wie vor Sicherheitsrisiken

    Netzwerkkameras von Foscam sind nach wie vor Sicherheitsrisiken

    Der chinesische Hersteller Foscam bietet IP-Kameras an, ohne sich viele Gedanken um deren Sicherheit zu machen. So lautet jedenfalls der Vorwurf der AV-Firma F-Secure, die eine Reihe von ungemütlichen Sicherheitslücken in den Geräten gefunden hat.

  10. VMware Horizon View Client kann sich unter macOS an Schadcode verschlucken

    Mac-Besitzer sollten die Version des Horizon View Client prüfen: Ein Sicherheitsupdate stopft eine Lücke, über die sich Angreifer im System einnisten könnten.

  11. 3

    Sicherheitsupdates: VMware vSphere Data Protection angreifbar

    Hacker

    In einer Komponente von vSphere klaffen zwei als kritisch eingestufte Lücken, über die Angreifer beliebige Befehle ausführen und Log-in-Daten abziehen können.

  12. 3

    Versehentlich aktiviertes Debugging-Tool gefährdet Cisco Data Center Network Manager

    Facebook-Rechenzentrum

    Sicherheitsupdates schließen zum Teil als kritisch eingestufte Lücken in Cisco AnyConnect, DCNM und TelePresence.

  13. 46

    VMware-Admins aufgepasst: Es gibt wichtige Updates für ESXi

    Server

    Wer Version 6.0 des ESXi-Hypervisors von VMware einsetzt, sollte Zeit zum Patchen einplanen. Einige Bugs und Sicherheitslücken wollen ausgebügelt werden.

  14. 15

    Patchday: Fehlerbereinigte Android-Versionen für Nexus, Pixel & Co. veröffentlicht

    Patchday: Fehlerbereinigte Android-Versionen für Nexus, Pixel & Co. veröffentlicht

    Google hat mehrere Sicherheitslücken in Android gestopft – darunter auch kritische. Wer ein Google-Gerät besitzt, sollte es zügig aktualisieren. Auch Besitzer von Geräten anderer Hersteller sollten prüfen, ob es eine Aktualisierung gibt.

  15. 102

    Check-Point-Bericht: Gefährliche Backdoor in jedem zehnten deutschen Unternehmensnetz

    Gefährliche Adware Fireball infiziert über 250 Millionen Rechner

    Die Fireball getaufte Adware ist mit über 250 Millionen Installationen nicht nur sehr verbreitet, sondern auch sehr gefährlich: Laut Check Point kann sie beliebigen Code auf dem System ausführen und so auch Malware nachladen.

  16. 159

    Bluescreen als Retter: Windows XP zu instabil für WannaCry

    Bluescreen als Retter: Windows XP zu instabil für WannaCry

    Analysen einer Sicherheitsfirma zufolge ist Windows XP viel zu Bluescreen-affin, um groß bei der Verbreitung des Verschlüsselungstrojaners WannaCry geholfen haben zu können.

  17. 31

    Shadow Brokers im Abo: Vulnerability-Wundertüte für 20.000 Euro im Monat

    Shadow Brokers im Abo: Vulnerability-Wundertüte für 20.000 Euro im Monat

    Die Hackergruppe Shadow Brokers will weitere geheime Informationen und Sicherheitslücken offen legen. Wer die haben will, soll kräftig zahlen. Was genau die Abonnenten erwartet sagt die geheimnisvolle Gruppe aber nicht.

  18. 17

    FreeRADIUS: Anmelde-Server dank Sicherheitslücke viel zu gutgläubig

    FreeRADIUS: Anmelde-Server dank Sicherheitslücke viel zu vertrauenswürdig

    Bei der Wiederaufnahme von TLS-Verbindungen überprüft der Anmelde-Server FreeRADIUS unter Umständen nicht, ob der Nutzer sich jemals richtig angemeldet hat. Für eine Software, die Anmeldungen prüfen soll, ist das fatal.

  19. 557

    Kritische Lücke in Microsofts Malware Protection Engine Update

    Kritische Lücke in Microsofts Malware Protection Engine

    Sicherheitsforscher haben höchst brisante Lücken im Virenschutz von Windows gefunden. Microsoft hat Updates verteilt. Anwender sollten sicherstellen, dass diese installiert wurden, da sonst das System ohne Zutun des Nutzers gekapert werden kann.

  20. 106

    Polizei fasst mutmaßlichen DDoS-Erpresser

    Polizei

    Die Bielefelder Polizei hat einen mutmaßlichen DDoS-Erpresser festgenommen, der unter dem Pseudonym "ZZB00t" deutsche Firmen erpresst haben soll. Der 24-jährige wurde dem Haftrichter vorgeführt.

  21. 79

    Cloak & Dagger: User-Interface-Tricksereien hebeln Android-Rechtesystem aus (enthält Videomaterial)

    Cloak & Dagger: User-Interface-Tricksereien hebeln Android-Rechtesystem aus

    Zwei App-Berechtigungen des Android-Betriebssystems lassen sich dazu missbrauchen, alles auszuspionieren, was der Nutzer auf der Tastatur eingibt. Außerdem kann man bösartige Apps auf diesem Wege mit beliebigen App-Rechten versorgen.

  22. 41

    Pwned per Untertitel: Viele Mediaplayer führen Schadcode in Subtitle-Dateien aus (enthält Videomaterial)

    Pwned per Untertitel: Viele Mediaplayer führen Schadcode in Subtitle-Dateien aus

    Forscher haben Lücken in Kodi, VLC, Popcorn Time und Stremio entdeckt, über die sie mit Hilfe von Untertitel-Daten Schadcode ausführen können. Auf diesem Wege gelang es ihnen, den Rechner des Opfers zu kapern.

  23. 369

    SambaCry: Gefährliche Sicherheitslücke in Samba finden und patchen

    SambaCry: Gefährliche Sicherheitslücke in Samba finden und patchen

    Der Verschlüsselungstrojaner WannaCry hatte sich wurmähnlich mit Hilfe einer SMB-Lücke in Windows verbreitet. Nun hat das Open-Source-Pendant Samba eine ähnliche Lücke, die seit sieben Jahren klafft. Droht eine Kryptotrojaner-Infektion auf Linux-Systemen?

  24. 235

    Jetzt patchen: Gefährliche Lücke in Samba

    Samba-Logo

    Seit sieben Jahren klafft eine Lücke in der Datei- und Druck-Server-Software Samba. Über die Lücke lässt sich aus der Ferne Code auf dem Server ausführen.

  25. 51

    Yahoo schmeisst ImageMagick nach Sicherheitslücke aus eigenem Webmail-Code

    Yahoo

    Durch die Schwachstelle konnten Angreifer Speicherinhalte der Yahoo-Server auslesen und so die E-Mail-Anhänge anderer Nutzer ausspionieren. Yahoo schloss die Lücke innerhalb eines selbstverordneten 90-Tage-Ultimatums.

  26. 115

    Chrome-Lücke erlaubt das Auslesen von Windows-Login-Hashes

    Google Chrome

    Chrome lädt, im Gegensatz zu den meisten anderen Web-Browsern, .scf-Dateien automatisch herunter. Das kann bei Windows-Anwendern dazu missbraucht werden, NTLMv2-Anmeldehashes aus dem lokalen Netz auszuleiten. Das wiederum ermöglicht weitere Angriffe.

  27. 205

    NSA meldete kritische Sicherheitslücke aus Angst vor den Shadow Brokers an Microsoft

    NSA

    Die Strategie der NSA, die Lücke jahrelang zu verheimlichen, sei gefährlich gewesen "wie Dynamitfischen", schildert ein ehemaliger Mitarbeiter der Agency. Microsoft hatte dann wegen den NSA-Informationen den Februar-Patchday abgesagt.

  28. 2

    WannaCrys böser kleiner Bruder

    Neben der Ransomware WannaCry hat sich in diesem Frühjahr noch eine weitere Schadsoftware im Internet verbreitet. Sie nutzt dieselben Lücken – und wirft eine beunruhigende Frage auf.

  29. 83

    Jetzt patchen: Gefährliche Sicherheitslücke in Joomla

    Jetzt patchen: Gerfährliche Sicherheitslücke in Joomla

    Das Joomla-Team schließt mit Version 3.7.1 eine SQL-Injection-Lücke, die fatale Folgen haben kann. Joomla-Admins sollten zügig reagieren.

  30. 3

    WordPress-Update 4.7.5 schließt sechs Sicherheitslücken

    WordPress-Update 4.7.5 schließt sechs Sicherheitslücken

    Zwar werden keine der Lücken als kritisch eingestuft, Admins sollten sich aber trotzdem um die XSS- und CSRF-Lücken kümmern.

Anzeige