Fehler in Software-Suite gefährdet NAS-Geräte von Synology | heise Security

Wer ein NAS von Synology besitzt, sollte die Systemsoftware aktualisieren. Ansonsten könnten Angreifer eine als kritisch eingestufte Sicherheitslücke (CVE-2018-1160) ausnutzen und Schadcode auf Geräten ausführen. Eine Attacke soll über das Internet ohne Anmeldung möglich sein. Die Lücke findet sich in verschiedenen Versionen von DiskStation Manager (DSM), SkyNAS, Synology Router Manager (SRM) und VS960HD. Ab den…

Zwei kritische Lücken in Adobe Acrobat und Reader | heise Security

Es gibt wichtige Sicherheitsupdates für Adobe Acrobat und Reader. Die PDF-Anwendungen sind über zwei als kritisch eingestufte Schwachstellen unter macOS und Windows attackierbar. Abgesicherte Versionen stehen zur Installation bereit.In den Standardeinstellungen sollten sich die Anwendungen automatisch aktualisieren. Passiert das nicht, kann man den Vorgang unter dem Menüpunkt “Hilfe” anstoßen. Für eine effizientere Verteilung können Admins…

Die Bilder der Woche (KW02) | c’t Fotografie

In dieser Woche können Sie gar nicht anders: Die Lichtpunkte auf den Bildern des Tages ziehen Ihre Blicke automatisch an. Eingerahmt von Dunkelheit bringen sie die Farben der Motive zum Leuchten. Dabei lohnt es sich, genauer hinzusehen, denn es werden einzigartige Details hervorgehoben.Das Foto “Im dunklen Wald” von Uschi Hermann ist im eigentlichen Sinn gar…

Fast nur “wichtige” Sicherheitsupdates für Windows & Co. | heise Security

Am ersten Patchday des Jahres räumt Microsoft 49 Sicherheitsprobleme in beispielsweise Edge, Exchange und verschiedenen Windows-Versionen aus dem Weg. Davon gelten sieben Lücken als kritisch, 40 Patches sind als wichtig markiert.Als besonders gefährlich gelten zwei Lücken (CVE-2019-0550, CVE-2019-0551) in Hyper-V. Ist ein Angreifer in einer virtuellen Maschine im Gast-System angemeldet, soll er durch das Ausführen…

Flash-Updates, die mit Sicherheit nichts zu tun haben | heise Security

Connect und Digital Editions von Adobe sind verwundbar – die Sicherheitslücken gelten aber nicht als kritisch. Die als “wichtig” eingestuften Updates sind ab sofort verfügbar. Connect ist einer Sicherheitswarnung von Adobe zufolge für alle Plattformen angreifbar. Die Ausgabe 10.1 ist abgesichert. Bedroht sollen alle Versionen bis einschließlich 9.8.1 sein. Nutzt ein Angreifer die Schwachstelle (CVE-2018-19718)…

Facebook droht Rekordstrafe wegen Datenschutz-Ignoranz | heise online

Die Amtsträger in der US-Handelsbehörde Federal Trade Commission (FTC) beraten über eine Rekordstrafe für Facebook. Der Datenkonzern soll eine 2011 mit der FTC eingegangene Vereinbarung über Datenschutz-Maßnahmen nicht eingehalten haben. Nach dem Auffliegen des Cambridge-Analytica-Skandals hat die FTC Ermittlungen gegen Facebook aufgenommen. Die Strafe der FTC soll deutlich höher ausfallen, als die von der Behörde…

Google schließt teils kritische Lücken | heise Security

Googles Android Security Bulletin für Januar umfasst insgesamt 27 Fixes für Sicherheitslücken im Smartphone-Betriebssystem. Das von den Lücken ausgehende Sicherheitsrisiko bewertet das Unternehmen im Bulletin durchweg als hoch, in zwei Fällen gar als kritisch.Die gefährlichste Lücke mit der CVE-Nummer CVE-2018-9583 steckt im Betriebssystem selbst. Sie könnte laut Google von einem entfernten Angreifer missbraucht werden, um…

Drei Uralt-Lücken in Systemd vereinfachen Linux-Angriffe | heise Security

Drei Sicherheitslücken in der Log-Funktion des Init-Nachfolgers Systemd können es Angreifern auf Linux-Systemen ermöglichen, sich Admin-Rechte zu erschleichen. Die Lücken finden sich in allen Linux-Distributionen, die Systemd zum Starten ihrer Prozesse verwenden – allerdings ist die Schwachstelle nicht auf allen Distributionen ausnutzbar. Die SUSE-Produkte SLES 15 und openSUSE Leap 15 und Fedora 28 und 29…

Fernbus-Ticketpreise auf Höchststand – Flixbus expandiert | heise online

Für Fernbuskunden in Deutschland wächst das Angebot, aber auch die Preise steigen. Fahrkarten kosteten zuletzt soviel wie seit der Marktfreigabe vor sechs Jahren nicht, wie aus einer Analyse des Marktforschungsinstituts Iges hervorgeht. Je Fahrgast und Kilometer machten die Anbieter Ende vergangenen Jahres 10,7 Cent Umsatz. Der Normalpreis lag damit je Kilometer 0,8 Cent höher als…

Kritische Lücken in SAP-Software geschlossen | heise Security

Admins, die betriebswirtschaftliche Software von SAP verwalten, sollten die aktuelle Sicherheitswarnung des Entwicklers studieren. Einige Produkte sind über als kritisch eingestufte Lücken angreifbar. Insgesamt hat SAP an diesem Patchday elf Sicherheitsnotizen veröffentlicht. Als kritisch gelten die Schwachstellen in Cloud Connector (CVE-2019-0246) und Landscape Management (CVE-2019-0249). Setzen Angreifer dort an, könnten sie unter Umständen Schadcode ausführen…

Angreifer könnten Ciscos Email Security Appliance ausknipsen | heise Security

Verschiedene Geräte und Software von Cisco ist verwundbar. Nun hat das Unternehmen die ersten Sicherheitspatches in diesem Jahr veröffentlicht. Admins sollten sicherstellen, dass sie die Updates zügig installieren, um Schlupflöcher für Angreifer zu schließen. In seinem Sicherheitscenter listet der Netzwerkausrüster betroffene Produkte auf. Die als am gefährlichsten eingestuften Lücken (CVE-2018-15453, CVE-2018-15460) finden sich in Email…

Sicherheitslücken mit Höchstwertung in Juniper ATP | heise Security

Angreifer könnten mit vergleichsweise wenig Aufwand die volle Kontrolle über das Schutzprodukt Advanced Threat Prevention (ATP) übernehmen. Darüber hinaus sind verschiedene Versionen des Betriebssystems Junos OS und die Management-Plattform für Netzwerke Junos Space angreifbar. Zwei Lücken (CVE-2019-0022, CVE-2019-0025) sind mit dem höchstmöglichen CVSS 3 Score 10 von 10 eingestuft. Aufgrund von hartcodierten Zugangsdaten könnten Angreifer…

Gravierende Sicherheitslücken in Fortnite-Anmeldung geschlossen | heise Security

Fortnite ist momentan das meistgespielte Videospiel auf dem PC. Millionen Spieler spielen es zu jeder Tages- und Nachtzeit. Da die Entwickler des Free-to-Play-Shooters ihr Geld mit In-App-Käufen im Spiel machen, haben viele Spieler ihren Account mit Zahlungsmitteln verknüpft, um den Fortnite Store nutzen zu können. Das hat sich auch bei Online-Kriminellen herumgesprochen, die es immer…

Sicherheitslücken in Protokoll gefährden OpenSSH, PuTTY & Co. | heise Security

Wer für die Dateiübertragung zwischen Computern OpenSSH, PuTTY oder WinSCP im Secure-Copy-Protocol-Modus (SCP) nutzt, macht sich unter gewissen Umständen angreifbar. Dabei versäumen es Clients unter anderem, vom Server erhaltene Objekte zu verifizieren. So könnten Angreifer beispielsweise Dateien von Opfern ändern.Konkret könnte sich ein bösartiger SSH-Server als Man-in-the-Middle in die SSH-Verbindung einklinken und dann etwa bei…

Oracle startet das Jahr mit 284 Sicherheitsupdates | heise Security

Admins, die Software von Oracle verwalten, sollten nach aktuellen Versionen Ausschau halten. Der Hardware- und Softwarehersteller hat in seinem ersten Quartalssammelupdate in diesem Jahr insgesamt 284 Sicherheitsupdates veröffentlicht. Den Großteil der Lücken haben Sicherheitsforscher von Trend Micros Zero Day Initiative und Secunia Research entdeckt und an Oracle gemeldet. Betroffene Software Die aktualisierten Updates sollten zügig…