Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Schadhafte Chrome-Extensions kommen an Googles Sicherheitsvorkehrungen vorbei

Schadhafte Chrome-Erweiterungen finden ihren Weg in den Chrome Web Store – ungeachtet der verbesserten Security- und Datenschutzeinstellungen von Manifest V3, der API, mit der Browsererweiterungen in Googles Chrome-Browser laufen. Obwohl die aktuelle API-Version in dieser Hinsicht verglichen mit V2 verbessert wurde, hat sie offenbar immer noch zu viele laxe Berechtigungen.

Anzeige

Wie das IT-Newsportal Dark Reading berichtet, haben Sicherheitsforscher der Firma SquareX auf der Hackerkonferenz DefCon 32 demonstriert, wie sich solche schadhaften Erweiterungen einfach an den Schutzvorkehrungen vorbeischmuggeln lassen. Diese können dann Videomaterial von Konferenzplattformen wie Google Meet oder Zoom stehlen, ohne dass dafür besondere Berechtigungen nötig wären.

Weiter zeigten die Forscher, wie derartige Manifest-V3-basierte Browsererweiterungen es Angreifern ermöglichen, Daten, Browserhistorie und Session Cookies zu stehlen, Nutzer auf schädliche Webseiten umzuleiten oder Mitwirkende zu privaten Github-Repositiories hinzuzufügen.

Vivek Ramachandran, Gründer und CEO von SquareX, warnt, dass Browser-Erweiterungen ein blinder Fleck für die Sicherheitstechnologien von Endpoint Detection and Response (EDR) beziehungsweise Extended Detection and Response (XDR) seien. Mitarbeiter würden sie von Sicherheitsvorkehrungen unbemerkt installieren. Angreifer könnten sie nutzen, um sich Zugriff auf interne Systeme und Daten eines Unternehmens zu verschaffen. Ohne dynamische Analysen und die Durchsetzung strenger Sicherheitsrichtlinien sei es Unternehmen nicht möglich, solche Angriffe zu erkennen und zu blockieren. Googles Manifest V3 sei zwar gut gemeint, aber weit davon entfernt, wirklich für Sicherheit zu sorgen.

Weiterlesen
  3 Aufrufe

"Cyberresilienz muss in die Köpfe kommen": Bundestag berät über NIS2

Vor nahezu leeren Sitzreihen hat der Bundestag am heutigen Freitag erstmals über das Umsetzungs- und Cybersicherheitsstärkungsgesetz der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) beraten – eine Woche vor Ablauf der Umsetzungsfrist. Die EU-Richtlinie NIS2 müsste nämlich bis zum 18. Oktober in nationales Recht umgesetzt werden. Deutschland wird diesen Termin reißen – derzeit geht man davon aus, dass NIS2 in Deutschland erst im Frühjahr 2025 wirksam wird.

Anzeige

Johannes Saathoff, parlamentarischer Staatssekretär im Innenministerium, fasste die wesentlichen Vorgaben von NIS2 zusammen: ein definiertes Niveau an Sicherheitsmaßnahmen und Meldepflichten bei Cybersicherheitsvorfällen. NIS2 weite die Zahl der Unternehmen, die bei der Cybersicherheit staatlichen Auflagen unterliegen, von derzeit 4500 kritischen Infrastrukturen auf rund 29.500 Unternehmen aus 18 Sektoren aus.

Obwohl es 2023 durch Cybervorfälle in der Wirtschaft Rekordschäden von 267 Milliarden Euro gegeben habe, sei das Problem noch nicht in allen Vorstandsetagen angekommen: "Cyberresilienz muss in die Köpfe kommen." Es sei daher richtig, dass die NIS2-Richtlinie die Unternehmensführung in die Pflicht nimmt.

Außerdem soll die deutsche NIS2-Umsetzung die Cybersicherheit der Bundesverwaltung stärken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll mehr Befugnisse erhalten und zu einer zentralen Sicherheitsbehörde weiterentwickelt werden. Zudem sollen Bund und Länder enger zusammenarbeiten.

Weiterlesen
  9 Aufrufe

CISA warnt vor Sicherheitslücken in 21 IoT-Industrie-Kontrollsystemen

Die oberste US-IT-Sicherheitsbehörde hat 21 Sicherheitsmeldungen zu Schwachstellen in industriellen Kontrollsystemen (ICS; IoT) veröffentlicht. Zahlreiche Produkte der Hersteller Delta Electronics, Schneider, Siemens und Rockwell Automation finden sich darunter.

Anzeige

Die CISA erläutert in ihrer Sicherheitsmitteilung, dass die einzelnen Security-Advisories Informationen zu Sicherheitsproblemen, Schwachstellen sowie Exploits "rund um ICS" (Industrial Control Systems) enthalten. Die einzelnen Sicherheitslücken betreffen in der Regel eine ganze Reihe von Geräten. Der Schweregrad variiert: Während einige Schwachstellen die Risikobewertung mittel erhalten, finden sich viele als hochriskant oder gar einige als kritisches Risiko eingestufte Sicherheitslecks in den IoT-Geräten.

Etwa eine kritische Sicherheitslücke in Siemens Sentron 7KM PAC3200 soll keinen Sicherheitsfix erhalten, Administratoren sollen beispielsweise eine PIN als Schutz vor nicht autorisierten Operationen einrichten. Die Mitteilungen enthalten weitergehende Informationen, erörtern, ob Updates geplant oder vorhanden sind und gehen auf gegebenenfalls verfügbare Workarounds ein. Weiterreichende Hinweise der Hersteller stellt die CISA in den Advisories ebenfalls bereit.

Die Liste der Produkte mit Sicherheitslücken ist recht lang:

Weiterlesen
  8 Aufrufe

Anonymisierendes Linux: Tails 6.8.1 kann persistenten Speicher reparieren

Das Tails-Projekt hat Version 6.8.1 der anonymisierenden Linux-Distribution für den USB-Stick veröffentlicht. Sie korrigiert eine kritische Sicherheitslücke im Firefox-Browser, der als Basis für Tor zum Einsatz kommt.

Anzeige

Diese kritische Sicherheitslücke in dem Webbrowser (und Thunderbird) wird bereits in freier Wildbahn angegriffen. Tails-Nutzerinnen und -Nutzer sollten daher umgehend die aktualisierte Fassung herunterladen und ihre USB-Sticks auf neuen Stand bringen.

Das Sicherheitsupdate ist die einzige Änderung in Tails 6.8.1. Der Tor Browser kommt darin auf dem fehlerbereinigten Stand 13.5.7 zum Einsatz. Das in der Nacht zum Mittwoch erschienene Tails 6.8 hingegen hat einige Änderungen mehr zu bieten. Die Entwickler schreiben, dass beim Entsperren des persistenten Speichers erkannte Dateisystemfehler nun repariert werden können. Es lassen sich jedoch nicht alle Dateisystemfehler sicher ausbessern, weshalb sie auch eine ausführlichere Dokumentation mit weiteren Lösungsmöglichkeiten erstellt haben.

Sofern eine Netzwerkschnittstelle deaktiviert wird, da sich die MAC-Adresse nicht anonymisieren lässt, erscheint nun eine verbesserte Benachrichtigung darüber. Die maximale Wartezeit für das Entsperren des persistenten Speichers haben die Entwickler auf acht Minuten angehoben, bevor Tails eine Fehlermeldung ausspuckt. Wenn ausgewählt wurde, das Passwort beim Eingeben anzuzeigen, versteckt Tails es nun dennoch während des laufenden Entsperrvorgangs. Sollte dieser länger dauern, erhalten Unbefugte keinen Einblick.

Weiterlesen
  8 Aufrufe

Updates unmöglich: Niederlande müssen Ampeln wegen Sicherheitslücke austauschen

Die Niederlande sehen sich mit einem unerwarteten Großprojekt konfrontiert: Sie müssen Zehntausende Ampelanlagen austauschen. Grund ist eine Sicherheitslücke im Funksystem der Schaltungskästen, mit der Angreifer die Verkehrszeichen fernsteuern können. Ein Sicherheitsforscher hatte die Lücke kürzlich auf einer Konferenz vorgestellt, nun handeln die Behörden.

Anzeige

Es klingt wie eine Filmszene aus einem Hollywood-Actionfilm: Per Knopfdruck schaltet ein Hacker im Auftrag einer Gangsterbande alle Ampeln in einer Stadt auf Grün und verursacht damit ein Verkehrschaos. In den Niederlanden könnte das tatsächlich eintreten, befürchten niederländische Experten. Schuld ist ein Kurzstreckenfunksystem namens KAR ("Korteafstandsradio"), das die Fernsteuerung von Ampeln erlaubt. So können Rettungskräfte, aber auch Busse Ampeln auf ihrer Route umschalten und so schneller vorankommen.

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen. YouTube-Video immer laden

Der Sicherheitsforscher Alwin Peppels erforschte das System und fand heraus, dass Angreifer es mit einfachen Mitteln, etwa einem "Software-Defined Radio" ausnutzen können. Das geht anders als bei anderen Verfahren auch über weite Entfernungen und kann mehrere Ampelkreuzungen auf einmal beeinflussen. Seine Forschungsergebnisse präsentierte Peppels am 2. Oktober auf der "One Conference" in Den Haag.

Die Niederlande setzen seit 2005 auf das KAR-System und planen nun, wie RTL Nieuws berichtet, die betroffenen Ampelanlagen auszutauschen. Obwohl die verwundbaren Funkempfänger sich oft in separaten Schaltkästen befinden und somit die Lichtzeichen nicht abgebaut werden müssen, ist der Aufwand für diese Aktion erheblich. Laut RTL Nieuws schätzen Fachleute, dass der Austausch der zehntausenden Anlagen sich bis 2030 hinziehen wird.

Weiterlesen
  7 Aufrufe

Schwachstellen in der Supply-Chain verdoppeln sich jedes Jahr

Supply-Chain-Angriffe, regulatorische Herausforderungen und neue technologische Entwicklungen – im neuen Report "The State of Software Supply Chain" hat Sonatype, Anbieter von Anwendungen für das Supply-Chain-Management, über sieben Millionen Open-Source-Projekte analysiert und Trends sowie Herausforderungen herausgearbeitet.

Anzeige

Mit inzwischen über 6,6 Billionen Downloads an Open-Source-Komponenten pro Jahr und dem Umstand, dass quelloffene Pakete inzwischen bis zu 90 Prozent moderner Softwareanwendungen ausmachen, sind Entwicklerinnen und Entwickler mit neuen Herausforderungen konfrontiert. Besonders rund um JavaScript (npm-Pakete) und Python (PyPi-Bibliotheken) führt die steigende Zahl an Abfragen und Abhängigkeiten zu einem über die letzten Jahre gestiegenem Risiko von Malware und Supply-Chain-Angriffen, also das Einschleusen von bösartigem Code. Letztere können Code-Repositorys, Build-Systeme und Distributionskanäle betreffen.

Tatsächlich identifiziert der Report allein für das vergangene Jahr über 512,000 verdächtige Pakete im OSS-Ökosystem, was über die letzten Jahre betrachtet einem Anstieg von rund 156 Prozent von Jahr zu Jahr entspricht.

Bis zu 4,5 Milliarden npm-Pakete pro Jahr verdeutlichen die Verbreitung quelloffener Komponenten in der Software Supply Chain.

Weiterlesen
  6 Aufrufe

Juniper: Mehr als 30 Sicherheitslücken gestopft

Juniper Networks hat einen ganzen Schwung an Sicherheitsmitteilungen veröffentlicht und veranstaltet eine Art Patchday. Zu den Advisories gehörende Patches dichten mehr als 30 Sicherheitslücken ab.

Anzeige

Die Auflistung der aktuellen Security-Bulletins von Juniper Networks enthält gleich mehrere Security-Bulletins, die etwa Probleme mit dem Border Gateway Protocol (BGP) betreffen. Die Auswirkungen reichen von Denial-of-Service-Situationen hin zur Ausführung von untergeschobenen Befehlen oder Schadcode.

Von den Sicherheitslücken gilt eine in Junos OS als kritisches Risiko. Sie betrifft die mitgelieferte Open-Source-Software nginx. Eine der nginx-Lücken erreicht einen CVSS-Wert von 9.8, erörtern die Autoren der Warnung von Juniper. 13 weitere Sicherheitsmitteilungen behandeln Schwachstellen, die die Entwickler des Herstellers als hohes Risiko einstufen.

IT-Verantwortliche mit Juniper-Networks-Hardware in ihrer Organisation sollten die Liste der Security-Bulletins prüfen, ob die eingesetzten Geräte oder Software-Versionen von den Sicherheitslücken betroffen sind. In den einzelnen Mitteilungen nennt Juniper Networks die verwundbaren Versionen und ab welcher Fassung die Sicherheitslecks gestopft sind. Die zugehörigen Aktualisierungen sollten Admins zügig herunterladen und installieren, um die Angriffsfläche in ihren Netzwerken zu reduzieren. Teils nennt Juniper auch temporäre Gegenmaßnahmen in den Sicherheitsmitteilungen, die das Risiko reduzieren helfen, sollten Updates nicht unmittelbar installierbar sein.

Weiterlesen
  8 Aufrufe

heise-Angebot: heise security Webinar: Warum NTLM gefährlich bleibt und was dagegen zu tun ist

Wer glaubt, NTLM sei erledigt, irrt. Angreifer nutzen dessen Sicherheitslücken immer noch routinemäßig aus, um Windows-Netze zu attackieren. Denn obwohl Microsoft diese Authentifizierungsverfahren selbst als veraltet erklärt, wird es wohl noch Jahre dauern, bis sie die endgültig abschalten. Und bis dahin müssen sich Admins mit den Gefahren herumschlagen, die sich daraus ergeben und ihre Netze gezielt dagegen absichern.

Anzeige

Dabei hilft Ihnen das heise security Webinar NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen. Es erklärt die konzeptionellen Schwächen von NTLM, zeigt, wie Angreifer diese konkret ausnutzen und stellt schließlich Konzepte vor, wie Admins das verhindern können. Dabei diskutiert der Referent Frank Ully insbesondere auch, welche Probleme man sich mit den verschiedenen Maßnahmen einhandelt und wie man damit dann wieder umgehen kann. Der praxisorientierte Vortrag mündet schließlich in ein Konzept, wie Sie Ihr Windows-Netz schrittweise absichern und dabei die trotzdem vorhandenen Restrisiken weitestmöglich einschränken

Das Webinar findet statt am Mittwoch, dem 16. Oktober 2024 und dauert circa zwei Stunden, in denen auch viel Raum für Fragen der Teilnehmer vorgesehen ist. Wie bei allen heise security Events ist die Veranstaltung komplett werbefrei und unabhängig. Sie richtet sich vor allem an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen (ihr erhaltet die Informationen dazu wie üblich über den exklusiven Security-Newsletter und im neuen PRO-Forum).

Weitere Informationen zum Webinar und die Möglichkeit sich anzumelden gibt es auf der Webseite zu:

Weiterlesen
  9 Aufrufe

Zero-Day-Lücke in Qualcomm-Mobilprozessoren bereits vereinzelt angegriffen

Qualcomm hat eine Zero-Day-Sicherheitslücke bei einer Reihe von Mobilprozessoren und Funktechnikchips bestätigt, die von böswilligen Angreifern bereits ausgenutzt wird. Details gibt es bislang kaum, aber da viele der betroffenen Chips für Android-Smartphones und -Tablets schon einige Jahre auf dem Markt sind, könnte es etliche Angriffsversuche gegeben haben. Qualcomm geht allerdings von begrenzten und gezielten Angriffen aus.

Anzeige

Die bislang unbekannte Zero-Day-Lücke wird als CVE-2024-43047 geführt und könnte unberechtigten Zugriff auf den Speicher des Geräts ermöglichen. Qualcomm gibt der Schwachstelle eine hohe Sicherheitsbewertung, die US-Cybersicherheitsbehörde CISA stuft sie als kritisch ein. Nach Angaben Qualcomms wurde sie Ende Juli dieses Jahres entdeckt. Der Konzern hat seine Kunden Anfang September entsprechend informiert und einen Patch zur Verfügung gestellt, den die Hersteller der Android-Geräte ausspielen sollen.

Zu den von der Sicherheitslücke betroffenen Qualcomm-Plattformen zählen neben WLAN- und Bluetooth-Chips auch die bei Android-Smartphones vielfach genutzten Mobilprozessoren Snapdragon 660, 680, 685, 865, 870, 888 und 888+ sowie die Snapdragon 8 Gen 1 Mobilplattform. Der Snapdragon 660 wurde bereits 2017 eingeführt und war vor allem bei Smartphones der Mittelklasse chinesischer Hersteller wie Xiaomi sehr beliebt. Der Snapdragon 888+ war der High-End-Chip Qualcomms des Jahres 2021, im Jahr darauf ist der Snapdragon 8 Gen 1 erschienen.

Die Zero-Day-Lücke gefunden haben Googles Sicherheitsforscher der "Threat Analysis Group", die sich auf staatlich unterstützte Cyberattacken fokussiert, und das "Security Lab" der Menschenrechtsorganisation Amnesty International, das die Gesellschaft vor digitaler Überwaschung und Spyware schützen will. Beide Organisationen bestätigen, dass die Sicherheitslücke angegriffen wurde. Während Google den Angaben Qualcomms laut Techcrunch nichts hinzufügen wollte, verspricht Amnesty International, dass ein entsprechender Untersuchungsbericht in Kürze erscheinen wird.

Weiterlesen
  16 Aufrufe

EU-Rat bringt Cyber Resilience Act auf den Weg

Der Rat der Europäischen Union hat am Donnerstag den Cyber Resilience Act (CRA) beschlossen. Mit dem Votum der Innen- und Justizminister der EU-Staaten können die neuen Regelungen für mehr Sicherheit bei vernetzten Geräten in Kraft treten. Die EU will damit erreichen, dass mit dem Netz verbundene Geräte von Computern über Kaffeemaschinen bis zu Babyphones besser gegen Cyberangriffe geschützt werden.

Anzeige

"Vernetzte Produkte erleichtern unseren Alltag, können aber auch von Kriminellen ausgenutzt werden. Deshalb müssen sie sicher sein", sagte Bundesinnenministerin Nancy Faeser (SPD). Verbraucher müssten sich darauf verlassen können, dass vernetzte Geräte im Haushalt kein Sicherheitsrisiko darstellten.

Die neue Verordnung verpflichtet Hersteller, Importeure und den Handel. Produkte, die das bekannte CE-Kennzeichen tragen, müssen künftig auch gegen IT-Angriffe gesichert sein. Zudem müssen Hersteller IT-Schwachstellen und -vorfälle einer zentralen Meldestelle berichten und regelmäßig Sicherheitsupdates anbieten.

Die Hersteller sollen dafür sorgen, "dass alle Produkte mit digitalen Elementen" sowie einer "logischen oder physischen Datenverbindung" im Einklang mit den in der Verordnung formulierten "grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden". Das betrifft ein breites Portfolio von Haushaltsgeräten, Computer-Hardware, Unterhaltungselektronik, Software und Cloud-Lösungen.

Weiterlesen
  16 Aufrufe

Kritische Fortinet-Sicherheitslücke wird angegriffen

Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt davor, dass derzeit ältere Sicherheitslücken in mehreren Fortinet-Produkten angegriffen werden. Sie hat die Sicherheitslücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen. Das verpflichtet US-Behörden zum zeitnahen Handeln, sollte aber auch für hiesige Organisationen ein Weckruf sein.

Anzeige

In der Warnung der CISA findet sich lediglich ein Hinweis auf die Sicherheitslücken, auf die Angriffe beobachtet wurden. Neben den bereits seit Mittwoch dieser Woche bekannten missbrauchten Lücken in Ivantis CSA warnt die Behörde vor einer Format-String-Schwachsstelle in mehreren Fortinet-Produkten, auf die Cyberkriminelle es derzeit offenbar abgesehen haben.

Wie die Angriffe aussehen und wie Betroffene erfolgreiche Attacken erkennen können, erörtert die CISA wie üblich nicht. Jedoch ist die Lücke selbst bekannt, es geht um die Schwachstelle CVE-2024-23113, mit einem CVSS-Wert 9.8 als "kritisches" Risiko eingestuft. Die Sicherheitslücke geht auf eine Umwandlung von extern kontrollierbaren Eingaben mittels sogenannter Format-String-Funktionen in von der Software weiter verarbeitete Daten zurück. Mittels speziell präparierter Netzwerkpakete können Angreifer dadurch unbefugt Schadcode oder Befehle einschleusen.

Fortinet hat in der zugehörigen Sicherheitsmitteilung betroffene Produkte und die Versionen aufgezählt, die den Fehler korrigieren. IT-Verantwortliche sollten schleunigst auf mindestens die nachfolgend genannten, besser jedoch auf den aktuell verfügbaren Softwarestand aktualisieren. Die Lücke beseitigen FortiOS 7.4.3, 7.2.7 und 7.0.14, FortiPAM in einer nicht genauer genannten Version, wobei FortiPAM 1.3 nicht betroffen sein soll, FortiProxy 7.4.3, 7.2.9 sowie 7.0.16 und schließlich FortiWeb 7.4.3.

Weiterlesen
  22 Aufrufe

Kaspersky wickelt Geschäft im Vereinigten Königreich ab

Nach dem Ende des Geschäftsbetriebs in den USA wickelt Kaspersky nun auch das Geschäft im Vereinigten Königreich ab. Medienberichten zufolge müssen die "weniger als 50 Mitarbeiter" des Londoner Büros gehen.

Anzeige

Gegenüber heise online bestätigte Kaspersky den Schritt. "Kaspersky wird den Betrieb der britischen Niederlassung abwickeln", erklärt das Unternehmen. Der Geschäftsbetrieb in dem Land soll sich auf den Partnerkanal umorientieren. "Dieser Schritt ermöglicht unserem Unternehmen, vorhandene Geschäftsmöglichkeiten im britischen Markt effizienter zu nutzen und den geschäftlichen Wohlstand zu stärken", führt Kaspersky aus.

Wie das Unternehmen weiter erklärt, erhalten Kunden und Partner im Vereinigten Königreich vollen Zugang zum europäischen Team von Kaspersky und dessen Partnernetzwerk. "Dadurch werden wir weiterhin Kasperskys Cyber-Security-Produkte und -Dienste anbieten."

Demnach bleibe die europäische Region ein Schlüsselmarkt. Die aktuellen Änderungen spiegelten Kasperskys Konzentration auf geschäftlichen Erfolg und Profitabilität wider. Das sei die Schlüsselstrategie des Unternehmens für die künftige Geschäftsentwicklung.

Weiterlesen
  24 Aufrufe

Kritische Sicherheitslücken im Linux CUPS-System aufgedeckt

Die vier von Check Point-Experten entdeckten Sicherheitslücken, darunter CVE-2024-47177 mit einem CVSS-Score von 9.0 (kritisch), betreffen eine Vielzahl von Linux-Distributionen sowie Systeme wie BSD, Oracle Solaris und ChromeOS. Ein Scan des Internets zeigte, dass Hunderttausende von Geräten potenziell gefährdet sind. Obwohl cloud-basierte Workloads oft nicht betroffen sind, da Port 631 in der Regel geschlossen ist, sollten betroffene Systeme dringend aktualisiert werden.

Maßnahmen und Schutzvorkehrungen

Um die Risiken zu minimieren, empfiehlt Check Point folgende Maßnahmen:

Systeme aktualisieren und Patches installieren
Es sollten Versionen cups-browsed > 2.0.1, libcupsfilters > 2.1b1 und libppd > 2.1b1 eingesetzt werden.

Dienste deaktivieren
Falls nicht benötigt, sollte der cups-browsed-Dienst vollständig deaktiviert werden.

Port 631 blockieren
Wenn ein Update nicht sofort möglich ist, sollte jeglicher Verkehr zu Port 631 blockiert werden, um Angriffe zu verhindern.

Weiterlesen
  20 Aufrufe

macOS 15.0.1: So fixt Apple Probleme mit Sicherheitstools

Apple hat in der Nacht zum 4. Oktober mit macOS 15.0.1 einen schwerwiegenden Bug behoben, der zu Netzwerkunterbrechungen führen konnte, wenn auf dem Rechner bestimmte Arten von Sicherheitswerkzeugen installiert waren. Inzwischen ist klarer geworden, woran es lag. Außerdem wurde bekannt, dass es schon vor dem Golden-Master-Release von macOS 15 einen entsprechenden Bugreport gegeben haben soll – auf den hin Apple zunächst nichts unternahm.

Anzeige

Im Beipackzettel von macOS 15.0.1 heißt es nur treuherzig, das Update verbessere "die Kompatibilität mit Sicherheitssoftware Dritter". Dass diese Kompatibilität vor Sequoia gegeben war, steht da nicht. Bis zum Fix hatte es zuvor gut drei Wochen gedauert. Der Sicherheitsexperte Patrick Wardle fand heraus, dass der Fehler offenbar schon Wochen vorher bei Apple angelandet war. "Jeder Apple-Apologet, der Drittanbieter beschuldigt, verdient es, mit einer großen Forelle geschlagen zu werden, da dies ein Apple-Bug war, der vor GM gemeldet wurde", schreibt er auf X.

Wie es zu dieser Ignoranz kam, bleibt unklar. In der Praxis bedeutete der Bug, dass bestimmte Verbindungstypen bei aktiven Netzwerkfiltern (über Apples Network-Extension-Framework, das die Sicherheitswerkzeuge nutzen) zu Abbrüchen auf TCP-Ebene kam – womöglich, weil diese abstürzen. Das galt sogar für ssh via Terminal, aber auch für andere Routinen. Bei ssh wurden etwa Fehlermeldungen wie "Connection corrupted" oder "Wrong Key Size" ausgespuckt. Ohne Netzwerkfilter arbeiteten die Verbindungen. Betroffen waren zahlreiche Sicherheits-Apps, die besonders im Geschäftsumfeld eingesetzt werden – jene von SentinelOne, Microsoft, ESET und CrowdStrike etwa. Auch Little Snitch hatte Schwierigkeiten.

Mit macOS 15.0.1 scheint es Apple nun gelungen zu sein, die Netzwerkfilter via Network Extensions (wieder) stabiler zu machen, sodass Verbindungsabbrüche nicht mehr auftreten. Ein weiteres Problem mit der App-Firewall wird in Apples Beipackzettel nicht erwähnt. Dabei wurden einlaufende UDP-Pakete rückstandsfrei entsorgt, was zu DNS-Fehlern führte.

Weiterlesen
  18 Aufrufe

Firefox-Notfall-Update stopft angegriffenes Sicherheitsleck

Im Webbrowser Firefox klafft eine Sicherheitslücke, die bereits aktiv in freier Wildbahn angegriffen wird. Aktualisierte Browser-Versionen stopfen das Sicherheitsleck.

Anzeige

Die Mozilla-Entwickler warnen in einer Sicherheitsmitteilung, dass es sich um eine Schwachstelle in Zeitleisten von Animationen handelt. Durch eine Use-after-free-Lücke haben Angreifer in der Inhaltsverarbeitung (content process) Code einschleusen und ausführen können (CVE-2024-9680, noch kein CVSS-Wert, Einstufung durch Mozilla-Programmierer als "kritisch"). Bei diesem Schwachstellentyp greift der Programmcode auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher undefiniert sind. Das lässt sich häufig für Codeschmuggel missbrauchen.

Wie die Angriffe konkret aussehen und wie sich überprüfen lässt, ob der eigene Webbrowser angegriffen wurde, erörtern die Entwickler jedoch nicht. Betroffen sind laut Mozilla-Stiftung Firefox und Firefox ESR. Die Versionen 131.0.2 von Firefox sowie die ESR-Fassungen 128.3.1 und 115.16.1 stehen bereit, um die Lücken abzudichten. Thunderbird scheint nicht betroffen zu sein, zumindest erwähnt Mozilla das Mailprogramm nicht.

Der Versionsdialog von Firefox findet und installiert die aktualisierte Software. Der findet sich nach Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei horizontalen Strichen rechts von der Adressleiste verbirgt, und den weiteren Weg über "Hilfe" unter "Über Firefox".

Weiterlesen
  14 Aufrufe

Internet Archive unter Beschuss: Über 30 Millionen Nutzerdaten gestohlen

Das Internet Archive hat es sich zur Aufgabe gemacht, flüchtige Daten für die Nachwelt aufzubewahren: Webseiten, Bücher, aber auch historische Software, Apps und Filme. Die nach US-Recht gemeinnützige Organisation hat einen gewaltigen Datenschatz angesammelt. Nun wurde bekannt, dass Teile dieses Schatzes, nämlich die Zugangsdaten der Archive-Nutzer, in unbefugte Hände gerieten. Außerdem litt das Internet Archive in den vergangenen Tagen unter einem dDoS und einer Defacement-Attacke.

Anzeige

Bereits im September diesen Jahres haben Angreifer sich Zugriff auf interne Systeme des Archives verschafft und die Mitgliederdatenbank kopiert. Neben Benutzername und E-Mail-Adresse erbeuteten die Cyberkriminellen auch die mittels "bcrypt" gehashten Passwörter der archive.org-Konten. Obgleich die meisten Inhalte des Internet-Archivs auch ohne Zugang abrufbar sind, wird für die virtuelle Ausleihe von Medien, etwa E-Books oder Filmen, und für weitere Funktionen ein Konto benötigt.

Am 30. September wurde die Nutzerdatenbank Troy Hunt, dem Betreiber des Dienstes "Have I been pwned" (HIBP) zugespielt, der jedoch auf Reisen war und erst knapp eine Woche später das Internet Archive darüber in Kenntnis setzte. Er spielte die Daten in seine Datenbank "geownter" Nutzerkonten ein, mit dem Ziel, seine Abonnenten innerhalb von 72 Stunden zu informieren.

Das geschah nun in der Nacht zum Donnerstag. HIBP informierte Betroffene per E-Mail über den Datenklau. Obgleich die Zugangspasswörter im "bcrypt"-Verfahren gehasht sind und dieses relativ sicher gegen Cracking und Brute-Force-Angriffe ist, sollten Nutzer des Internet Archive ihr Kennwort vorsichtshalber ändern.

Weiterlesen
  15 Aufrufe

heise-Angebot: iX-Workshop für KMUs: Schritt für Schritt zur sicheren IT

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.

Weiterlesen
  14 Aufrufe

Passkeys: Neue Apple-Passwörter-App könnte für schnellere Verbreitung sorgen

Ohne Passwort einfach per Geräte-PIN, Fingerabdruck oder Gesichtsscan bei Webdiensten einloggen: Was vor zwei Jahren, als Apple das Konzept auf der Entwicklerkonferenz WWDC erstmals unter dem Namen Passkeys vorstellte, noch wie Zukunftsmusik klang, ist mittlerweile Realität. Passkeys, der FIDO2-basierte Anmeldestandard, der das Passwort als Default-Anmeldemethode im Internet mittelfristig ablösen soll, kommt in der Anwenderrealität an. Große Webdienste wie Google, PayPal oder Amazon bieten das sichere Anmeldeverfahren an, die großen Browser unterstützen es und sogar die Zahlungsdienstleister Visa und Mastercard machen mit und schützen Onlinezahlungen per Passkey.

Anzeige

"Apple Passwörter" ist seit iOS 18 und macOS 15 eine eigene App. Die höhere Sichtbarkeit des betriebssystemeigenen Passwortmanagers könnte der Verbreitung von Passkeys zugutekommen.

Trotzdem wird das passwortlose, Phishing-resistente Anmeldeverfahren noch lange nicht von der breiten Masse der Internetnutzer verwendet. Zum einen liegt das laut einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführten Umfrage an der fehlenden Bekanntheit des Verfahrens. Zwar kannten 38 Prozent der Befragten den Begriff Passkeys, nur 18 Prozent gaben jedoch an, sie auch zu nutzen. Unter der Mehrheit der befragten Passkey-Nutzer, 72 Prozent, genießt das Verfahren immerhin ein hohes oder sehr hohes Vertrauen. Sie werten unter anderem die hohe Nutzungsfreundlichkeit positiv.

Weiterlesen
  16 Aufrufe

US-Gesundheitswesen: Großteil erlitt in den letzten 12 Monaten Cyberangriff

Ein Großteil der US-amerikanischen Gesundheitsorganisationen (92 Prozent) war in den vergangenen 12 Monaten eigenen Angaben zufolge mindestens von einem Cyberangriff betroffen. 69 Prozent davon gaben an, dass auch die Patientenversorgung beeinträchtigt war. Das zeigt eine Umfrage des Ponemon Institute und von Proofpoint Inc., bei der 647 IT-Fachkräfte aus US-Gesundheitsorganisationen befragt wurden. Demnach haben Gesundheitsorganisationen weiterhin Schwierigkeiten, die Auswirkungen solcher Angriffe zu verringern.

Anzeige

Laut der Umfrage beeinflussen Angriffe auf die Lieferkette am ehesten die Patientenversorgung. 82 Prozent der Befragten, deren Organisationen von Lieferkettenangriffen betroffen waren, berichteten von Störungen in der Patientenversorgung.

Zu den vier häufigsten Angriffsarten gehören Angriffe auf Cloud-Dienste- oder Accounts, Angriffe auf die Lieferkette, danach folgen mit Abstand Ransomware-Angriffe und "Business Email Compromise" oder Spoofing. Diese führten bei 56 Prozent der betroffenen Organisationen zu einer Beeinträchtigung der Patientenversorgung, etwa aufgrund von Verzögerungen bei Tests oder Operationen, was für Krankenhäuser in der Regel mit hohen Kosten verbunden ist.

Messaging- und E-Mail-Dienste werden am meisten attackiert.

Weiterlesen
  26 Aufrufe

Windows 11 soll Passkeys künftig zwischen Geräten synchronisieren können

Microsoft plant, die Passkey-Verwaltungsfunktionen in Windows 11 zu überarbeiten. Die Bedienoberfläche zum Speichern und Verwalten der privaten Schlüssel, Windows Hello, bekommt ein Redesign. Eine neue Schnittstelle in Windows 11 soll das direkte Zusammenspiel des Betriebssystems mit Drittanbieter-Passwortmanagern zur Passkey-Verwaltung ermöglichen. Außerdem sollen mit Windows Hello erstellte Passkeys künftig über den Microsoft-Account zwischen Windows-Rechnern synchronisierbar werden.

Anzeige

Mit Windows Hello erstellte Passkeys sollen künftig nicht mehr nur lokal auf dem jeweiligen Rechner, sondern im Microsoft-Account des jeweiligen Nutzers gesichert werden und zwischen dessen etwaigen Zweit- oder Dritt-Rechnern synchronisiert werden können.

Eine neue API soll es Windows-Nutzern künftig ermöglichen, in Drittanbieter-Apps wie 1Password oder Bitwarden auf dem Smartphone oder Tablet gesicherte Passkeys nahtlos in Windows 11 zu nutzen. Zu diesem Zweck wurden auch gleich die Benutzerführung und Bedienoberfläche in Windows Hello überarbeitet. Beim Erstellen eines Passkeys am Rechner mit Windows Hello wird es laut Blogpost künftig die Möglichkeit geben, zu wählen, ob dieser in einem Drittanbieter-Passwortmanager oder im Microsoft Account gesichert werden soll.

Damit weicht Microsoft von seiner bisherigen Linie ab. Mit Windows Hello erstellte Passkeys werden bisher lediglich lokal auf dem Gerät gesichert, mit der Neuerung wandern sie wahlweise in die Microsoft- oder in die Cloud eines Passwortmanagers.

Weiterlesen
  22 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image