Security
-
Sicherheitslücken: "Feuchte Farbe" auf Steam geschmuggelt
Immer wieder klagen Nutzer über Sicherheitslücken auf Steam, jetzt hat ein Student die Sache mal aus Entwicklersicht untersucht - und ein angebliches Programm namens "Watch Paint Dry" ohne Zustimmung von Valve im Store veröffentlicht.
https://www.golem.de/news/sicherheitsluecken-feuchte-farbe-auf-steam-geschmuggelt-1603-120027.html -
Google-Entwickler: NPM-Malware könnte sich als Wurm verbreiten
Wegen einiger Design-Prinzipien der Node-Paktverwaltung NPM könne sich ein schadhaftes Modul wie ein Wurm im gesamten System verbreiten, warnt ein Google-Entwickler. Gegen die Sicherheitslücke hilft vorerst nur Handarbeit.
https://www.golem.de/news/google-entwickler-npm-malware-koennte-sich-als-wurm-verbreiten-1603-120011.html -
Oracle: Notfallupdate für Java 7 und 8
Eine gefährliche Sicherheitslücke in Java 7 Update 97 und Java 8 Update 73/74 hat Oracle veranlasst, außerplanmäßig ein Sicherheitsupdate zu veröffentlichen. Server sind nicht betroffen.
https://www.golem.de/news/oracle-notfallupdate-fuer-java-7-und-8-1603-119986.html -
Strafe verhängt: Frankreich fordert von Google weltweite Auslistung von Links
Mit dem Geoblocking von beanstandeten Links wollte Google den europäischen Datenschützern entgegenkommen. Doch der französischen CNIL reicht das nicht, sie verhängte eine Geldstrafe. Google will die Entscheidung anfechten.
https://www.golem.de/news/strafe-verhaengt-frankreich-fordert-von-google-weltweite-auslistung-von-links-1603-119984.html -
Innenminister de Maizière: "Datenschutz ist schön, aber Sicherheit hat Vorrang"
Nach jedem Terroranschlag werden Forderungen laut, den Datenaustausch zwischen den Behörden zu verbessern. Mit seinen jüngsten Äußerungen stößt Innenminister de Maizière jedoch auf heftige Kritik.
https://www.golem.de/news/innenminister-de-maiziere-datenschutz-ist-schoen-aber-sicherheit-hat-vorrang-1603-119975.html -
Volksverschlüsselung: Das seltsame Open-Source-Verständnis des Fraunhofer SIT
Die vom Fraunhofer SIT initiierte sogenannte Volksverschlüsselung soll Open Source werden, sagt das Institut. Wir haben nach Details zur Offenlegung des Codes gefragt und verblüffende Antworten erhalten.
https://www.golem.de/news/volksverschluesselung-das-seltsame-open-source-verstaendnis-des-fraunhofer-sit-1603-119973.html -
SMTP STS: Bessere Transportverschlüsselung zwischen Mailservern
Ein Entwurf für einen neuen Standard soll die Kommunikation zwischen Mailservern auf SMTP-Ebene besser absichern. Zwar kann man die auch jetzt schon verschlüsseln, aber für aktive Angreifer ist es einfach, die Verschlüsselung auszuschalten.
https://www.golem.de/news/smtp-sts-bessere-transportverschluesselung-zwischen-mailservern-1603-119955.html -
Apple: Lückenhafte iMessage-Verschlüsselung
Kryptographen haben eine Sicherheitslücke bei der Verschlüsselung des iMessage-Protokolls entdeckt. In der Praxis dürfte diese nur sehr schwer ausnutzbar sein, doch sie zeigt, dass das dahinterstehende Protokoll äußerst fragwürdig ist.
https://www.golem.de/news/apple-lueckenhafte-imessage-verschluesselung-1603-119929.html -
Rechtsstreit mit Apple: FBI kann iPhone möglicherweise ohne Apple entsperren
Das FBI hat möglicherweise einen Weg gefunden, doch ohne Hilfe von Apple das iPhone zweier Attentäter zu entsperren. Die Hilfe Apples sei nicht mehr nötig, eine weitere Anhörung im Prozess wurde abgesagt.
https://www.golem.de/news/rechtsstreit-mit-apple-fbi-kann-iphone-moeglicherweise-ohne-apple-entsperren-1603-119914.html -
Palo Alto Networks: VPN-Webinterface mit überlangen Benutzernamen angreifbar
Ein Sicherheitsforscher der Heidelberger Firma ERNW hat eine Remote-Code-Execution-Lücke auf einer Palo-Alto-Appliance gefunden. Verantwortlich dafür war ein fehlender Längencheck bei der Eingabe des Benutzernamens.
https://www.golem.de/news/palo-alto-networks-vpn-webinterface-mit-ueberlangen-benutzernamen-angreifbar-1603-119876.html -
Security: Neuer Stagefright-Exploit betrifft Millionen Android-Geräte
Stagefright bedroht viele nach wie vor ungepatchte Android-Geräte weltweit, gilt aber als schwierig auszunutzen. Eine neue Technik erfordert etwas Infrastruktur, dürfte aber größere praktische Relevanz haben.
https://www.golem.de/news/security-neuer-stagefright-exploit-betrifft-millionen-android-geraete-1603-119875.html -
Rowhammer: Auch DDR4-Speicher für Bitflips anfällig
Offenbar sind mehr Arbeitsspeicher-Varianten für den Rowhammer-Angriff verwundbar, als bislang gedacht. Forscher haben jetzt einen Angriff auf DDR4-Speicher vorgestellt, auch professionelle Serverspeicher sollen betroffen sein.
https://www.golem.de/news/rowhammer-auch-ddr4-speicher-fuer-bitflips-anfaellig-1603-119869.html -
IT-Planungsrat: Hardware darf keine "schadenstiftende Software" haben
Der IT-Planungsrat hat neue Vertragsbedingungen für den Kauf von Hardware veröffentlicht. Hersteller müssen nun versichern, dass ihre Geräte keine "Funktionen zum unerwünschten Einleiten von Daten" haben.
https://www.golem.de/news/it-planungsrat-hardware-darf-keine-schadenstiftende-software-haben-1603-119867.html -
Kostenlose Zertifikate: Symantec will mit Let's Encrypt konkurrieren
Eine weitere Initiative möchte mehr kostenfreie Zertifikate im Web erreichen. Doch dieses Mal geht es nicht um ein communitygetriebenes Projekt. Let's Encrypt macht derweil offenbar einen wichtigen Schritt.
https://www.golem.de/news/kostenlose-zertifikate-symantec-will-mit-let-s-encrypt-konkurrieren-1603-119859.html -
NSA-Ausschuss: Steinmeier verteidigt Kooperation mit US-Geheimdiensten
Der frühere Kanzleramtschef Steinmeier hat 2001 die Grundlage für die BND-Kooperation mit der NSA gelegt. Vor dem NSA-Ausschuss des Bundestags wies er nun jede Kritik an deren Resultaten zurück. "Überrascht" zeigte er sich von anderen BND-Aktivitäten.
https://www.golem.de/news/nsa-ausschuss-steinmeier-verteidigt-kooperation-mit-us-geheimdiensten-1603-119849.html -
Sicheres Linux Subgraph OS ausprobiert: Diese Alphaversion hat Potenzial
Mit Subgraph OS soll ein neues, sicheres Linux mit innovativer Sandbox entstehen. Wir haben mit den Entwicklern gesprochen und das System ausprobiert - und sind trotz Alphastatus angetan.
https://www.golem.de/news/sicheres-linux-subgraph-os-ausprobiert-diese-alphaversion-hat-potenzial-1603-119767.html -
Sidechannel-Angriff auf 3D-Drucker: Wie man 3D-Objekte über Audiosignale kopiert
Forschern ist es gelungen, ein 3D-gedrucktes Objekt anhand der Audiosignale des 3D-Druckers zu kopieren. Solche Side-Channel-Angriffe sind eher aus der Kryptographie bekannt.
https://www.golem.de/news/sidechannel-angriff-auf-3d-drucker-wie-man-3d-objekte-ueber-audiosignale-kopiert-1603-119832.html -
ÖPNV: Das Rhein-Main-E-Ticket gehört abgeschafft!
Es könnte alles so einfach sein - isses aber nicht. Unsere Erfahrung zeigt: Das E-Ticket des Rhein-Main-Verkehrsverbundes macht nichts leichter, günstiger oder gar umweltfreundlicher.
https://www.golem.de/news/oepnv-das-rhein-main-e-ticket-gehoert-abgeschafft-1603-119815.html -
Blizzard: Patches für Diablo 2 und Warcraft 3 verfügbar
Die ersten Updates seit 2011: Blizzard hat Diablo 2 und Warcraft 3 gepatcht. Die Aktualisierungen verbessern die Unterstützung der beiden Klassiker für OS X und Windows 10.
https://www.golem.de/news/blizzard-patches-fuer-diablo-2-und-warcraft-3-verfuegbar-1603-119810.html -
Nacktfotos von Prominenten: Verdächtiger gesteht Phishing-Angriff auf iCloud
Im Verfahren um die Veröffentlichung von privaten Promifotos hat sich der Verdächtige des Phishings schuldig bekannt. Doch mit der Veröffentlichung der Bilder will der Mann nichts zu tun haben.
https://www.golem.de/news/nacktfotos-von-prominenten-verdaechtiger-gesteht-phishing-angriff-auf-icloud-1603-119812.html
