[NEU] [mittel] Apple iOS und iPadOS: Schwachstelle ermöglicht Offenlegung von Informationen
Ein Angreifer kann eine Schwachstelle in Apple iOS und Apple iPadOS ausnutzen, um Informationen offenzulegen.
0
Anzahl der Newsfeeds
Newsfeed bereitgestellt von BUND/Cert: https://wid.cert-bund.de
[NEU] [niedrig] vim: Schwachstelle ermöglicht Codeausführung
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in vim ausnutzen, um beliebigen Programmcode auszuführen.
[NEU] [hoch] Dell PowerProtect Data Domain OS: Schwachstelle ermöglicht Codeausführung
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Dell PowerProtect Data Domain OS ausnutzen, um beliebigen Programmcode auszuführen.
[NEU] [hoch] nginx-ui: Schwachstelle ermöglicht Offenlegung von Informationen
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in nginx-ui ausnutzen, um Informationen offenzulegen.
[NEU] [mittel] IBM WebSphere Application Server: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in IBM WebSphere Application Server ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
[UPDATE] [hoch] Oracle Systems: Mehrere Schwachstellen
Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Oracle Systems ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden.
[NEU] [mittel] Gitea: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Gitea ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
[NEU] [mittel] GNU Emacs: Schwachstelle ermöglicht Denial of Service oder die Offenlegung von Informationen
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in GNU Emacs ausnutzen, um einen Denial of Service Angriff durchzuführen oder möglicherweise vertrauliche Informationen offenzulegen.
[NEU] [hoch] PackageKit: Schwachstelle ermöglicht Privilegieneskalation
Ein lokaler Angreifer kann eine Schwachstelle in PackageKit ausnutzen, um seine Privilegien zu erhöhen.
[NEU] [hoch] Microsoft GitHub Enterprise: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Microsoft GitHub Enterprise ausnutzen, um Sicherheitsvorkehrungen zu umgehen, um beliebigen Programmcode auszuführen, und um Informationen offenzulegen.
[NEU] [mittel] DNSdist: Mehrere Schwachstellen ermöglichen Denial of Service
Ein Angreifer kann mehrere Schwachstellen in DNSdist ausnutzen, um einen Denial of Service Angriff durchzuführen.
[NEU] [hoch] Atlassian Bamboo, Bitbucket, Confluence, Jira: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Atlassian Bamboo, Atlassian Bitbucket, Atlassian Confluence und Atlassian Jira ausnutzen, um beliebigen Programmcode auszuführen, Sicherheitsmaßnahmen zu umgehen, Daten zu manipulieren oder offenzulegen oder Cross-Site-Scripting-Angriffe durchzuführen.
[NEU] [mittel] Mozilla Thunderbird, Firefox ESR und Firefox: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Mozilla Thunderbird, Mozilla Firefox ESR und Mozilla Firefox ausnutzen, um seine Privilegien zu erhöhen, um einen Denial of Service Angriff durchzuführen, um Informationen offenzulegen, um falsche Informationen darzustellen, und um Sicherheitsvorkehrungen zu umgehen.
[NEU] [mittel] Red Hat Hardened Images RPMs: Mehrere Schwachstellen
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Red Hat Hardened Images RPMs ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen und möglicherweise Daten zu manipulieren oder Path-Traversal-Angriffe durchzuführen.
[NEU] [mittel] PowerDNS: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in PowerDNS ausnutzen, um Sicherheitsvorkehrungen zu umgehen, und um einen Denial of Service Angriff durchzuführen.
[NEU] [mittel] Erlang/OTP: Schwachstelle ermöglicht Manipulation von Dateien
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Erlang/OTP ausnutzen, um Dateien zu manipulieren.
[NEU] [hoch] CPython: Schwachstelle ermöglicht nicht spezifizierten Angriff
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in CPython ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen.
[NEU] [hoch] VMware Tanzu Spring Security: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in VMware Tanzu Spring Security ausnutzen, um Informationen offenzulegen, Sicherheitsmaßnahmen zu umgehen, sich als Benutzer auszugeben oder Daten zu manipulieren – was möglicherweise eine Privilegieneskalation, SSRF- oder Cross-Site-Scripting-Angriffe ermöglicht.
[NEU] [mittel] lxml: Schwachstelle ermöglicht Offenlegung von Informationen
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in lxml ausnutzen, um Informationen offenzulegen.
[NEU] [UNGEPATCHT] [mittel] binutils: Schwachstelle ermöglicht Denial of Service
Ein lokaler Angreifer kann eine Schwachstelle in binutils ausnutzen, um einen Denial of Service Angriff durchzuführen.
0
Anzahl der Feeds in »IT-Security«
Newsfeed bereitgestellt golem.de: https://www.golem.de
Sicherheitsupdates: Windows 10 verwirrt Nutzer mit Anzeigefehler zum Supportende
Einige Windows-10-Systeme zeigen trotz bestehendem Support oder ESU-Lizenz an, nicht mehr unterstützt zu werden. Laut Microsoft ist das ein Bug. (Windows 10, Microsoft)
Bundesnetzagentur und BSI: Antennen werden ohne Begründung zur kritischen Infrastruktur
Ohne technische Begründung will die Bundesnetzagentur reine Mobilfunkantennen zur kritischen Infrastruktur erklären. (5G, Huawei)
ADAC-Test: Ladestationen an Autobahn-Raststätten oft mangelhaft
Der Ausbau der Ladeinfrastruktur an den Autobahnen lässt laut ADAC weiter zu wünschen übrig. Gute Lademöglichkeiten gibt es eher an Autohöfen. Ein Bericht von Friedhelm Greis (Elektroauto, Auto)
Seit zwei Jahren ungepatcht: 15.000 Cisco-Geräte mit Malware infiziert
Angreifer bedienen sich einer seit 2023 bekannten Sicherheitslücke, um Cisco-Geräte zu kompromittieren. Entfernte Malware kommt ständig zurück. (Sicherheitslücke, Virus)
Logistikbranche im Visier: Hacker leiten Lkw-Ladungen um und stehlen Frachtgut
Cyberkriminelle haben es auf Frachtgut abgesehen. Sie kompromittieren Konten von Spediteuren, um ganze Lkw-Ladungen zu kapern. (Cybercrime, Cyberwar)
Ex-Mitarbeiter angeklagt: Lösegeldverhandler wohl an Cyberangriffen beteiligt
Drei Ex-Mitarbeiter von Cybersecurityfirmen scheinen ein äußerst fragwürdiges Nebengeschäft betrieben zu haben. Es war Ransomware im Spiel. (Ransomware, Cyberwar)
Cyberbedrohung: China kann jederzeit Norwegens Elektrobusse lahmlegen
Möglich ist das aufgrund einer in den Bussen verbauten SIM-Karte, über die OTA-Updates bezogen werden. Die potenziellen Folgen sind weitreichend. (Sicherheitslücke, Elektroauto)
Attacken auf EU: Ungepatchte Windows-Lücke wird seit Jahren ausgenutzt
Die Sicherheitslücke ist Microsoft schon seit über einem Jahr bekannt. Bisher lehnt der Konzern es jedoch ab, einen Patch bereitzustellen. (Sicherheitslücke, Microsoft)
Ausnahmen für Privatflüge: BKA überwacht 90 Prozent der Flugpassagiere
Im Jahr 2024 wurden eine halbe Milliarde Fluggastdaten vom BKA verarbeitet. Nur ein Bruchteil davon führte zu Festnahmen. (Datenschutz, Politik)
Elizebeth Friedman: Eine Schlüsselfigur in der Geschichte der Kryptologie
Vor 45 Jahren starb Elizebeth Friedman. Sie enttarnte Schmuggler, legte Nazi-Funksender lahm und schuf prägende Methoden der Kryptoanalyse. Ein Porträt von Elke Wittich (Wissen, Verschlüsselung)
GrapheneOS schützt: Diese Pixel-Smartphones kann das FBI mit Cellebrite knacken
Im Netz kursiert eine neue Support-Matrix von Cellebrite. Pixel-Geräte mit GrapheneOS lassen sich wohl schwieriger knacken als mit Standard-Android. (GrapheneOS, Smartphone)
Rüstungskonzern L3Harris: US-Manager hat Exploits an Russen verkauft
Ein Manager hat durch den Handel mit Exploit-Komponenten etwa 1,3 Millionen US-Dollar eingenommen. Der Schaden bei L3Harris ist jedoch weitaus größer. (Security, Virus)
Kein Fix verfügbar: Milliarden von Webbrowsern lassen sich in Sekunden crashen
Eine bisher ungepatchte Sicherheitslücke betrifft Nutzer Chromium-basierter Browser. Die Software lässt sich sekundenschnell zum Absturz bringen. (Sicherheitslücke, Google)
Collins Aerospace: Mit Passwort "test" Nachrichten ins Cockpit schicken
Bei Collins Aerospace ist wohl ein schlecht geschütztes Testkonto in ein Produktivsystem gelangt. Laut CCC konnte man darüber mit Piloten kommunizieren. (Sicherheitslücke, CCC)
Datenschutz versus Kosten: Nutzer zahlen bereitwillig mehr für EU-Cloudlösungen
Immer mehr europäischen Cloudnutzern ist Datenschutz wichtig. Sogar so wichtig, dass sie bereit sind, für ein Hosting in der EU mehr zu bezahlen. (Datenschutz, Strato)
Sideloading: F-Droid wirft Google Falschaussage vor
Die Macher von F-Droid teilen weiter gegen Google wegen der kommenden Entwicklerregistrierung aus: Google verbreite Falschaussagen. (Softwareentwicklung, Google)
Exploit-Code verfügbar: DNS-Einträge unzähliger Bind-Server manipulierbar
Angreifer können via Cache-Poisoning Datenverkehr auf eigene Domains umleiten. Allein in Deutschland sind laut BSI rund 40.000 DNS-Server anfällig. (Sicherheitslücke, Server-Applikationen)
BSI schlägt Alarm: 92 Prozent aller deutschen Exchange-Server ohne Support
Microsoft Exchange Server 2016 und 2019 erhalten keine Sicherheitsupdates mehr. In Deutschland basieren aber noch unzählige Server auf diesen Versionen. (Exchange, Microsoft)
Admin-Zugang gekapert: Insasse hackt Gefängnis-IT und macht Mithäftlinge reich
Aufgeflogen ist alles, weil Inhaftierte ihre Gier nicht im Griff hatten. Ein Millionenbetrag auf dem Konto eines Insassen ist dann doch etwas auffällig. (Sicherheitslücke, Cyberwar)
Ransomware: Immer weniger Unternehmen zahlen Hackern ein Lösegeld
Die Rentabilität von Ransomware-Attacken fällt. Nicht nur zahlen immer weniger Opfer das Lösegeld. Auch die Höhe der Zahlungen ist zuletzt stark gefallen. (Ransomware, Security)