IT News

Willkommen auf der Seite mit Neuigkeiten und Informationen des aktuellen Monates rund um die Thematik der IT, IT-Sicherheit und meinem eigenen kleinen Webprojekt.

Hier finden Sie eine kleine Auswahl an externen Feeds wieder mit denen sich nicht nur Administratoren aus den Welten von Microsoft® und Linux® beschäftigen sollten, zudem spezifisch zu Ubuntu und Kubuntu.

Ebenfalls haben Sie die Möglichkeit die aktuellen Nachrichten über die Veröffentlichung neuer Artikel
unter HowTo's, ... zu meiner Webseite mittels einem Feedreader zu abonieren im Format RSS 2.0 und im Nachrichtenarchiv in den Listen der News herum zu stöbern.

D.R.G.

Januar 2018

Keine Nachrichten in diesem Zeitraum vorhanden.

IT-Security | Golem

Januar 2018

Smartphone: Kreditkartenbetrug bei Oneplus-Kunden

Wer ein Oneplus-Smartphone gekauft hat, dem wurden in den vergangenen Wochen häufig noch weitere Dinge von der Kreditkarte abgebucht - die aber gar nicht erworben wurden. Oneplus scheint derzeit selbst nicht genau zu wissen, was auf der eigenen Webseite Probleme macht. (Oneplus, Datenschutz)

Weiterlesen …

Festplatten: WD-My-Cloud-NAS-Geräte kommen mit Backdoor-Account

Wer ein privates NAS aufsetzt, verspricht sich meist mehr Kontrolle über persönliche Daten als in der Cloud. Kritische Sicherheitslücken in Western-Digital-Geräten ermöglichen jedoch Angreifern, sich mit einem Backdoor-Account einzuloggen oder beliebig Dateien hochzuladen. (Western Digital, Speichermedien)

Weiterlesen …

Wallet: Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk

Eine Kreditkarte die man verlieren kann, ohne dass der Finder damit etwas anfangen kann: Das und mehr will Wallet bieten. Wir haben uns das aktuelle Modell der smarten Kreditkarte in Las Vegas angeschaut. (Security, Politik/Recht)

Weiterlesen …

Türkei: Twitter-Account des Spiegel-Chefs gehackt

Der Twitter-Account des Spiegel-Chefredakteurs hat über mehrere Stunden ein Bild des türkischen Staatspräsidenten Recep Tayyip Erdogan verbreitet und sich für schlechte Nachrichten über die Türkei entschuldigt. Nach dem Hack soll der Account jetzt wieder unter Kontrolle sein. (Twitter, Microblogging)

Weiterlesen …

Signal-Protokoll: Skype integriert ein bisschen Verschlüsselung

Teilnehmer des Skype-Insider-Programms können künftig Chats mit Ende-zu-Ende-Verschlüsselung testen. Standard soll das allerdings nicht werden. (Skype, VoIP)

Weiterlesen …

Fehlalarm: Falsche Raketenwarnung verunsichert Hawaii

Fehlalarm per SMS: Zahlreiche Bürger und Besucher von Hawaii dachten für rund 30 Minuten, dass ein Raketenangriff auf die Insel kurz bevorsteht. Erst dann wurde der falsche Alarm zurückgerufen - ein Mitarbeiter soll einen falschen Knopf betätigt haben. (Security, UMTS)

Weiterlesen …

Whistleblowerin: Chelsea Manning will in den US-Senat

Chelsea Manning hat sich für den US-Senat beworben. Entsprechende Unterlagen veröffentlichte die Bundeswahlkommission. Die Chancen der Whistleblowerin dürften jedoch nicht sehr gut stehen. Selbst im Falle der Wahl wäre ihr ein Platz im Senat nicht sicher. (Chelsea Manning, Wikileaks)

Weiterlesen …

Geldautomaten: Mehr Datenklau und trotzdem weniger Schaden durch Skimming

Datendiebe haben an Geldautomaten in Deutschland 2017 wieder deutlich häufiger zugeschlagen als vor Jahresfrist. Die Kriminellen nutzten letzte Sicherheitslücken, um aus Kundendaten Profit zu schlagen. Die Branche sieht jedoch keinen Grund zur Sorge. (Geldautomat, Internet)

Weiterlesen …

Updates: Wie man Spectre und Meltdown los wird

Sicherheitslücken in fast allen modernen Prozessoren verunsichern seit der vergangenen Woche Privatanwender und Administratoren. Wir erklären, was Nutzer derzeit unternehmen sollten und wo noch Unklarheit besteht. Dabei konzentrieren wir uns auf Desktop- und Server-Systeme. (Security, IBM)

Weiterlesen …

Microsoft: Fall Creators Update ist final für alle Geräte verfügbar

Laut Microsoft können mittlerweile alle unterstützten Windows-PCs das Fall Creators Update installieren. Es sei der schnellste Rollout bisher. Mit dem Hintergrund von Spectre und Meltdown rät das Unternehmen auch dazu, das System immer aktuell zu halten. (Microsoft, Windows)

Weiterlesen …

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"

Die geplanten Upload-Filter der EU-Kommission stoßen vielfach auf Kritik. Bei einer Diskussionsrunde von Wikimedia Deutschland gibt es jedoch auch Befürworter. (Leistungsschutzrecht, Urheberrecht)

Weiterlesen …

Asynchronous Ratcheting Tree: Facebook demonstriert sicheren Gruppenchat für Apps

Bisher haben Chat-Anwendungen mit modernen Algorithmen wie Signal und Whatsapp Probleme damit, Gruppenchats dauerhaft abzusichern. Ein neuer Algorithmus von Facebook und Forschern der Uni Oxford könnte das künftig ändern. (Security, Soziales Netz)

Weiterlesen …

BeA: Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein

Der Softwaredienstleister Atos und damit indirekt auch dessen Partner Governikus werden laut Medienberichten von der Bundesrechtsanwaltskammer (Brak) nicht mehr für das Besondere elektronische Anwaltspostfach (BeA) bezahlt. Die mit Sicherheitsproblemen behaftete Lösung für Anwälte soll umfassend und transparent geprüft werden. (Atos, Server)

Weiterlesen …

Kinderspielzeug: Vtech zahlt 650.000 Dollar Strafe für Datenschutzverstöße

Auch in den USA können Datenschützer Strafen verhängen - aktuell trifft es den Spielzeughersteller Vtech. Dieser hat nach Meinung der FTC vor dem Sammeln von Daten nicht ausreichend um Erlaubnis gefragt. Außerdem sind die Sicherheitsmaßnahmen unzureichend gewesen. (FTC, Datenschutz)

Weiterlesen …

Security: Das Jahr, in dem die Firmware brach

2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig. (Security, WLAN)

Weiterlesen …

Nach Meltdown und Spectre: Intel richtet neue Sicherheitsabteilung ein

Eine neue Sicherheitsabteilung soll es künftig richten: Intels Chef Brian Krzanich versetzt zahlreiche Topmanager in eine neue Abteilung, die Probleme wie Meltdown und eine löchrige Intel Management Engine in Zukunft verhindern sollen. (Intel, Prozessor)

Weiterlesen …

WLAN: D-Link und McAfee stellen "Sicherheits-Router" vor

Immer mehr Hersteller wollen mit Routern punkten, die den Kunden automatische Sicherheitsfunktionen bieten. Neu dabei sind D-Link und McAfee, die einen MU-MIMO-Router mit McAfees Threat Intelligence verbinden wollen. (McAfee, Virenscanner)

Weiterlesen …

Spectre und Meltdown: Microsoft stoppt Update-Auslieferung für AMD-Systeme

Weil einige Athlon-Prozessoren nach dem Update nicht mehr in Windows booten, stoppt Microsoft die Verteilung von Spectre-Patches für betroffene AMD-Systeme. Schuld sollen fehlerhafte Angaben des Prozessorherstellers sein. (Spectre, Microsoft)

Weiterlesen …

VPN: Samsung bringt "sicheres WLAN" für Galaxy Note 8

Samsung will Nutzer von offenen WLANs mit einem neuen Dienst schützen. Bislang ist die Funktion nur für Besitzer des Galaxy Note 8 verfügbar. Kostenfrei sind bis zu 250 Mbyte nutzbar. (Galaxy Note 8.0, WLAN)

Weiterlesen …

Datenschutz an der Grenze: Wer alles löscht, macht sich verdächtig

Reisen mit Laptop und Smartphone kann jede Menge Ärger bringen. Die meisten Tipps der EFF lassen sich aber generell im Umgang mit persönlichen Daten beherzigen. (Politik/Recht, Instant Messenger)

Weiterlesen …

Meltdown und Spectre: NSA will nichts von Prozessor-Schwachstelle gewusst haben

Der US-Geheimdienst NSA versichert, die Prozessor-Sicherheitslücken Meltdown und Spectre nicht zum Ausspähen von Daten genutzt zu haben. In den USA wurden bereits die ersten Sammelklagen gegen Intel eingereicht. (NSA, Google)

Weiterlesen …

US-Grenzkontrolle: Durchsuchung elektronischer Geräte wird leicht eingeschränkt

US-Grenzbeamte dürfen künftig nur noch bei einem begründeten Verdacht ein Mobilgerät sehr genau untersuchen. Eine neue Regelung schränkt die Befugnisse der Beamten etwas ein. Einen Durchsuchungsbeschluss, wie ihn die Bürgerrechtsorganisation ACLU gern hätte, brauchen sie aber immer noch nicht. (Politik/Recht, Security)

Weiterlesen …

Spectre und Meltdown: 90 Prozent der aktuellen Intel-CPUs werden gepatcht

In einer Woche wird Intel den Großteil seiner CPUs der vergangenen fünf Jahre mit einem Update gegen Spectre und Meltdown versehen. Google testet eine eigene Lösung bereits erfolgreich. Die Leistungseinbußen sollen marginal sein. (Spectre, Google)

Weiterlesen …

Spectre und Meltdown: All unsere moderne Technik ist kaputt

Man kann sich auf Hardware nicht mehr verlassen - Spectre und Meltdown zeigen das überdeutlich. Bevor neue Grundlagentechniken wie spekulative Befehlsausführung massenhaft eingeführt werden, müssen sie ab jetzt anders getestet werden. (Sicherheitslücke, Intel)

Weiterlesen …

Spectre und Meltdown: CPU-Bugs sind laut Google schon seit Juni 2017 bekannt

Nicht nur Intel ist von der gravierenden Sicherheitslücke in Prozessoren betroffen, durch die Angreifer heikle Daten auslesen können. Googles Project Zero erklärt die Funktionsweise der Speicher-Leaks und Linus Torvalds erwartet Ehrlichkeit. (Intel, Prozessor)

Weiterlesen …

EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse

In fünf Monaten tritt die EU-Datenschutzreform in Kraft. Viele andere weitreichende Entscheidungen für das Internet in Europa stehen im diesem Jahr hingegen noch aus. (Leistungsschutzrecht, Urheberrecht)

Weiterlesen …

BeA: Noch mehr Sicherheitslücken im Anwaltspostfach

Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt. (Sicherheitslücke, Technologie)

Weiterlesen …

Linksunten.indymedia.org: E-Mails, Computer, Briefpost - alles beschlagnahmt

Der deutsche Staat geht mit dem Vereinsrecht gegen ein Portal vor, das vielen Beobachtern zufolge unter den Schutz der Pressefreiheit fällt. Auf dem Chaos Communication Congress berichtete die Anwältin der Beschuldigten über den Stand zahlreicher Verfahren. (34C3, E-Mail)

Weiterlesen …

Kriminalität: Mann droht Firma mit Hack, um Job zu bekommen

"Feuert sie und stellt mich ein oder werdet stückchenweise vernichtet": Ein Mann hat in den USA einer Softwarefirma mit einem Hack gedroht, um eingestellt zu werden. Statt eines neuen Jobs bekam er jedoch eine Gefängnisstrafe. (Hacker, Rechtsstreitigkeiten)

Weiterlesen …

Kartellamt: Facebook drohen Sanktionen wegen Datensammlung

Hier ein paar Daten von Whatsapp, dort ein paar Daten von Instagram: Facebook sammelt Informationen über seine Mitglieder, ohne diese ausdrücklich gefragt zu haben. Das Kartellamt ist der Auffassung, dass das Netzwerk damit seine Marktstellung ausnutzt. (Facebook, Soziales Netz)

Weiterlesen …

IT-Sicherheit: Der Angriff kommt - auch ohne eigene Fehler

Das Jahr 2017 brachte vielen Unternehmen Millionenschäden durch Malware ein, ohne dass diese aktiv Fehler gemacht hatten. Wanna Cry, NotPetya und auch der CCleaner-Vorfall zeigen, dass die Frage der eingesetzten Software deutlich wichtiger ist als verwendete Virenscanner oder Firewall-Appliances. (Security, Virus)

Weiterlesen …

IT-Security | Heise

Januar 2018

WhatsApp und Signal: Forscher beschreiben Schwächen verschlüsselter Gruppenchats

Zwar ist die Ende-zu-Ende-Verschlüsselung bei WhatsApp und Signal sicher, das Drumherum lässt aber eventuell zu wünschen übrig. So wird ein von Spionen gekaperter Kontrollserver mitunter zur Schwachstelle.

Weiterlesen …

Vorsicht vor eBay- und Telekom-Phishing-Mails

Derzeit versuchen Kriminelle mit betrügerischen Mails unter dem Deckmantel von eBay und Telekom Nutzerdaten zu erbeuten und Schadcode zu verteilen.

Weiterlesen …

Personal Cloud: Seagate sichert NAS gegen Fernzugriff ab

In Netzwerkspeichern des Herstellers Seagate stecken Bugs, die mit einigem Aufwand für den Remote-Zugriff missbraucht werden können. Ein Firmware-Update behebt das Problem.

Weiterlesen …

l+f: Rapper und Schweine im Polizeifunk

Was tönt denn da aus dem Funkgerät: Oink, Oink. Fuck tha Police.

Weiterlesen …

Sicherheitsupdates: Zum Teil kritische Lücken in Junipers Junos OS

Angreifer könnten verschiedene Netzwerkgeräte mit Junos OS von Juniper lahmlegen oder sogar übernehmen. Sicherheitsupdates stehen zum Download bereit.

Weiterlesen …

AdultSwine: Android-Malware lädt Porno-Werbung in Kinder-Apps

Google hat 60 Apps aus dem Play Store entfernt, die Porno-Banner, Abofallen und Scareware in Spielen für Kinder aufpoppen ließen. Doch die bereits installierten Schädlinge sind weiterhin aktiv.

Weiterlesen …

Twitter-Account von "Spiegel"-Chefredakteur gehackt

In der Nacht zum Sonntag haben Unbekannte eine Türkei-Meldung über den Twitter-Account von "Spiegel"-Chefredakteur Klaus Brinkbäumer abgesetzt.

Weiterlesen …

Intel AMT: Exploit hebelt Zugangsschutz von Firmen-Notebooks aus

F-Secure berichtet über eine potenzielle Sicherheitslücke in Intel AMT, die es Angreifern ermöglicht, sämtliche gängigen Zugangsschutzmaßnahmen vieler Firmen-Notebooks auszuhebeln.

Weiterlesen …

Security-Quiz: Polizei in Taiwan verteilt infizierte USB-Sticks

Die ungewollte Malware-Party flog auf, weil einige Quiz-Teilnehmer von Anti-Virusprogrammen gewarnt wurden. Bei der anschließenden Rückholaktion konnte die Polizei nur einen Teil der verseuchten Sticks sicherstellen. Der Rest ist weiter im Umlauf.

Weiterlesen …

Lenovo findet Backdoor in eigenen Netzwerk-Switches

Die kompromitierten Switch-Modelle, die nun zu Lenovos Portfolio gehören, hatte ursprünglich der längst aufgelöste Netzwerk-Zulieferer Nortel entwickelt.

Weiterlesen …

Datendiebstähle am Geldautomaten: Schaden 2017 wieder gestiegen

Datendiebe haben an Geldautomaten 2017 wieder häufiger zugeschlagen als vor Jahresfrist. Die Kriminellen nutzen letzte Sicherheitslücken, um aus Kundendaten Profit zu schlagen. Banken sehen jedoch keinen Grund zur Sorge.

Weiterlesen …

Meltdown-Patches: 32-Bit-Systeme stehen hinten an

Mit der Offenlegung von Meltdown und Spectre, die moderne Prozessordesigns geschickt austricksen, ging auch die große Patcherei los. Jedoch: 32-Bit-Betriebssysteme bekommen davon noch nicht allzuviel ab.

Weiterlesen …

Hintergrund: Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Weiterlesen …

Meltdown und Spectre: Spontane Neustarts nach Updates von Intels Haswell- und Broadwell-CPUs

Manche Nutzer von Haswell- und Broadwell-Prozessoren kämpfen laut Intel mit spontanen System-Neustarts. Intel sucht derzeit noch die Ursache.

Weiterlesen …

Sicherheitsupdates: IPv6 macht VMware Fusion und Workstation für Schadcode anfällig

Eine Lücke in Fusion und Workstation gilt als kritisch. In der Standardeinstellung sind die Anwendungen aber nicht abgreifbar.

Weiterlesen …

AMD rudert zurück: Prozessoren doch von Spectre 2 betroffen, Microcode-Updates für Ryzen und Epyc in Kürze

AMD-Prozessoren sind nun doch von der zweiten Spectre-Variante Branch Target Injection betroffen. AMDs Senior Vice President stellte bereits Microcode-Updates für Ryzen und Epyc in Aussicht.

Weiterlesen …

Skype-Chats mit Ende-zu-Ende-Verschlüsselung

Was WhatsApp schon längst kann, soll künftig auch Skype können: Die Insider-Version unterstützt Ende-zu-Ende-verschlüsselte Chats. Für die "Privaten Unterhaltungen" kommt das Protokoll von Signal zum Einsatz. Es gibt aber einige Einschränkungen.

Weiterlesen …

Vorsicht vor Fake-Mails vom BSI mit angeblichen Meltdown-/Spectre-Patches

Betrügerische Mails im Namen des Bundesamt für Sicherheit in der Informationstechnik wollen Opfern einen als Meltdown-/Spectre-Patch getarnten Trojaner unterjubeln.

Weiterlesen …

heise-Angebot: IT-Security-Event: Das Programm der secIT von Heise ist online

Ab sofort lässt sich das Programm der Expert-Talks, Vorträge und Workshops einsehen. Die secIT findet im März in Hannover statt und richtet sich an Fachpublikum bestehend aus IT-Security-Verantwortlichen, Admins, Datenschutzbeauftragten und Entscheidern.

Weiterlesen …

Kommentar zu Meltdown & Spectre: Chaos statt Kundendienst

Intel, Microsoft, Google, Apple, AMD, Samsung & Co stellen angesichts der aktuellen Sicherheitslücken ihre eigenen Interessen über die ihrer Kunden: Sie dokumentieren nicht genau genug, was zu tun ist.

Weiterlesen …

Meltdown und Spectre: Mitentdecker warnt vor erstem Schadcode

Sicherheitsforscher Anders Fogh hat entscheidend zur Entdeckung von Meltdown und Spectre beigetragen. Er schätzt, dass es schon in Kürze erste Angriffe auf Computer geben wird. Funktionierende Werkzeuge dafür kursierten bereits im Netz.

Weiterlesen …

Spectre-Lücke: Auch Server mit IBM POWER, Fujitsu SPARC und ARMv8 betroffen

IBM stellt Firmware-Updates für Server mit POWER7+, POWER8 und POWER9 bereit, Fujitsu will einige SPARC-M10- und -M12-Server patchen; zu ARM-SoCs für Server fehlen Infos.

Weiterlesen …

Intel-Benchmarks zu Meltdown/Spectre: Performance sackt um bis zu 10 Prozent ab, SSD-I/O deutlich mehr

Die Leistungsfähigkeit aktueller Intel-Prozessoren kann sich laut Intel nach dem Einspielen von Sicherheitspatches um bis zu 10 Prozent verringern, in Spezialfällen fällt der Performance-Verlust sogar noch höher aus. Besonders betroffen: SSD-Systeme.

Weiterlesen …

Letsencrypt sperrt TLS-SNI Domainvalidierung

Die kostenlose Zertifizierungsstelle Letsencrypt sperrt wegen einer Sicherheitslücke eine von drei Methoden zum Beweisen, dass jemand eine Domain besitzt. Admins müssen eventuell den Client wechseln, um auf andere Validierungen auszuweichen.

Weiterlesen …

Angreifer attackieren ungepatchte Server-Apps von Oracle

Angreifer nehmen derzeit Oracle-Server ins Visier, um Kryptogeld zu schürfen. Anzeichen dafür sind schnell erkennbar.

Weiterlesen …

Zweite Passwort-Lücke in macOS High Sierra

Nach dem schwerwiegenden Root-Fehler haben Nutzer ein zweites Passwortproblem in Apples aktuellem Mac-Betriebssystem gefunden: Die Einstellungen des Mac App Store lassen sich mit jeder beliebigen Zeichenkette öffnen.

Weiterlesen …

#heiseshow: Meltdown und Spectre – Was steckt dahinter und wie schlimm ist es?

Die Prozessorlücken Meltdown und Spectre erschüttern die IT-Szene. So gut wie alle Prozessoren sind darüber angreifbar und Software-Patches können sich spürbar auswirken. Was dahinter steckt und wie es nun weitergeht, besprechen wir in der #heiseshow.

Weiterlesen …

FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?

Antworten auf die häufigsten Fragen zu den Prozessorlücken und Angriffsszenarien Meltdown und Spectre.

Weiterlesen …

Hacker zwacken Rechenleistung von Behörde ab, um Kryptogeld zu schürfen

Das Landesamt für Besoldung und Versorgung Baden-Württemberg ist Opfer einer Hackerattacke geworden. Dabei sollen die Angreifer aber keine Daten abgezogen haben.

Weiterlesen …

Patchday: Zero-Day-Lücke in Microsoft-Office

Microsoft schließt Sicherheitslücken in Office, Windows & Co. Davon gelten mehrere als kritisch. Angreifer nutzen derzeit eine Office-Schwachstelle aktiv aus.

Weiterlesen …

Microsoft über Meltdown & Spectre: Details zu Patches und Leistungseinbußen

In einem Blog-Beitrag erklärt Microsoft-Vizepräsident Terry Myerson die Updates für Windows genauer und gibt auch Schätzungen zu Leistungseinbußen ab: Die können unter Windows Server erheblich sein.

Weiterlesen …

Wichtiges Sicherheits-Update für Adobe Flash

An seinem ersten Patchday des Jahres dichtet Adobe einen Speicherfehler im Flash Player ab, der zu einem Informationsleck führen kann.

Weiterlesen …

Patch gegen Spectre: Aktualisierte Nvidia-Grafiktreiber für GeForce und Quadro, Tesla-Treiber später

Nutzer von Nvidia-Grafikkarten sollten die neuen Grafiktreiber schnellstmöglich installieren. Sie enthalten Patches, die die Anfälligkeit für erfolgreiche Spectre-Attacken senken.

Weiterlesen …

Bitcoin- und Litecoin-Klau bei Electrum, Electron Cash und Electrum-LTC möglich

Eine von außen ausnutzbare Sicherheitslücke gefährdet Nutzer der Wallet-Programme Electrum (Bitcoin), Electron Cash (Bitcoin Cash) und Electrum-LTC (Litecoin). Angreifer könnten den Anwender deanonymisieren und im Extremfall das Guthaben stehlen.

Weiterlesen …

Millionen Profildaten gehackt: 650.000 Dollar Strafe für Leck bei Spielzeug-Firma VTech

Ende 2015 war bekannt geworden, dass Hacker sich Zugang zu Millionen Profilen und Kundendaten bei der Spielzeugfirma VTech verschafft hatten. Nun hat sich der Konzern mit der Behörde FTC in den USA geeinigt und zahlt 650.000 US-Dollar Strafe.

Weiterlesen …

Meltdown und Spectre: Intel patcht ab 2013 produzierte Prozessoren, bestätigt Performance-Auswirkung

Intel will zunächst nur die Prozessoren der letzten fünf Jahre mit Sicherheitsupdates versorgen und will diese noch im Januar ausspielen. Was mit älteren Prozessoren geschieht, ist unklar.

Weiterlesen …

iX startet Info-Hub für Security-Awareness-Ressourcen

Die Aufmerksamkeit der Benutzer für IT-Sicherheitsprobleme zu schärfen ist zu einer der zentralen Aufgaben der Sicherheitsbeauftragten geworden. iX hat zur Unterstützung einen Info-Hub gestartet,

Weiterlesen …

Meltdown und Spectre: Microsoft veröffentlicht Prüfwerkzeug für Prozessor-Sicherheitslücken

Microsoft hat ein PowerShell-Modul veröffentlicht, mit dem sich Windows-Client- und -Server-Systeme darauf abklopfen lassen, ob sie anfällig für Meltdown- oder Spectre-Angriffe sind.

Weiterlesen …

Apple fixt Spectre in iOS 11 und macOS 10.13

Apple hat am Montagabend Updates für die jüngsten Versionen seiner iPhone-, iPad- und Mac-Betriebssysteme veröffentlicht. Sie beheben die Chip-Lücke Spectre. Ältere Versionen bleiben verwundbar.

Weiterlesen …

Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern

Hersteller von Hard- und Software sind von den Sicherheitslücken Meltdown und Spectre gleichermaßen betroffen. Eine Linkübersicht zu Stellungnahmen, weiterführenden Informationen und Update-Hinweisen.

Weiterlesen …

Meltdown: Verwirrung um Patches für ältere macOS-Versionen

In den Release Notes seines jüngsten Sicherheitsupdates gab Apple zunächst an, El Capitan und Sierra seien abgedichtet, korrigierte den Eintrag dann aber kommentarlos.

Weiterlesen …

Redaxo: Neue Version 5.5.1 schließt Schwachstelle im CMS

Das freie Content-Management-System Redaxo ermöglichte bis vor kurzem unbefugte Dateizugriffe. Jetzt sorgt ein Update für Sicherheit.

Weiterlesen …

Sicherheitslücke bei Facebook ermöglichte Werbekunden Telefonnummernzugriff

5000 Dollar Bug Bounty brachte einem europäischen Forscherteam das Aufspüren einer diffizilen Datenschutzlücke bei Facebook ein.

Weiterlesen …

Meltdown und Spectre: Erste Klagen gegen Intel, Performanceprobleme kochen hoch

In drei US-Staaten wurden wegen der Sicherheitslücken in Intel-Prozessoren Klagen eingereicht. Die Kläger streben eine Sammelklage an – unter anderen wegen Performance-Einbußen. Die hatte auch schon Epic Games als Grund für Fortnite-Downtimes beklagt.

Weiterlesen …

Meltdown und Spectre: Update für Windows 10 legt einige PCs lahm

Das von Microsoft eilig bereitgestellte Update KB4056892 führt laut Nutzerberichten auf einigen AMD-Systemen zu einem Bootfehler und lässt sich auf anderen PCs nicht installieren.

Weiterlesen …

Weißes Haus: NSA wusste nichts von Computerchip-Schwachstelle

Die Prozessorlücken Meltdown und Spectre sind für Geheimdienste hochpotente Ansatzpunkte zum Abfischen von Informationen. Doch die NSA hätte angeblich darauf verzichtet, um Intel nicht zu schaden.

Weiterlesen …

Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau

Die Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau. EIne Analyse von Andreas Stiller.

Weiterlesen …

My Cloud: Netzwerkspeicher von Western Digital via Backdoor angreifbar

Besitzer eines "My Cloud"-Netzwerkspeichers sollten diesen bis auf weiteres vom Internet trennen: Die Firmware zahlreicher Modelle ermöglicht offenbar das Login mit hardgecodeten Default-Zugangsdaten aus der Ferne. Patches stehen seit langem aus.

Weiterlesen …

Jetzt patchen: Kritische Lücken in Dell EMC Data Protection Suite

Einige Dell-EMC-Produkte sind anfällig für Angriffe, die im schlimmsten Fall die vollständige Systemkompromittierung ermöglichen. Patches stehen bereit.

Weiterlesen …

Trackmageddon: GPS-Tracking-Services ermöglichen unbefugten Zugriff

Sicherheitsforscher haben Schwachstellen in zahlreichen Online-Tracking-Services entdeckt, die Angreifern unter anderem das Abrufen von GPS-Daten ermöglichen. Eine Liste der verwundbaren Services ist online verfügbar.

Weiterlesen …

Prozessor-Lücken Meltdown und Spectre: Intel und ARM führen betroffene Prozessoren auf, Nvidia analysiert noch

Betroffen sind unter anderem sämtliche Intel-Core-Prozessoren bis zurück zum Jahr 2008 sowie eine Vielzahl von ARM-Cortex-CPUs. Nvidia glaubt, dass die CUDA-GPUs nicht anfällig sind und analysiert noch seine Tegra-Prozessoren.

Weiterlesen …

#TGIQF - das Quiz: Viren, Würmer und Trojaner

Computer-Viren und -Würmer haben eine lange Tradition, angefangen bei missglückten Experimenten bis hin zu den dreisten Erpressungstrojanern der jüngsten Vergangenheit. Kommen Sie mit auf einen Streifzug durch die Geschichte der Viren, Würmer und Trojaner

Weiterlesen …

XeroxDay: Zero-Day-Schwachstelle bei Xerox Alto gefunden!!!1elf

Der Passwortschutz der 14-Zoll-Disketten für Xerox Alto lässt sich im Handumdrehen aushebeln. Ein Fix ist nicht in Sicht. Vom Produktiveinsatz mit sensiblen Daten sollte daher Abstand genommen werden.

Weiterlesen …

Meltdown und Spectre: Alle Macs und iOS-Geräte betroffen

Apple hat sich endlich zu der Chiplücke in ARM- und Intel-Prozessoren geäußert. Demnach sind alle aktuellen iOS- und Mac-Produkte des Konzerns angreifbar. Erste Bugfixes existieren.

Weiterlesen …

Android-Patchday: Google schließt 38 Sicherheitslücken

Im Rahmen seiner monatlichen Update-Routine schließt Google im Januar 38 Android-Lücken, von denen fünf als kritisch gelten. Für Pixel- und Nexus-Geräte gibt es wieder zusätzliche Sicherheitspatches.

Weiterlesen …

LightsOut und Co.: Android-Adware im Google Play Store

Mehrere Apps im offiziellen Play Store generierten bis vor kurzem mit unlauteren Methoden Werbeeinnahmen auf Android-Geräten. Google hat sie entfernt, und auch betroffene Nutzer sollten zeitnah handeln.

Weiterlesen …

Prozessor-Bug: Browser-Hersteller reagieren auf Meltdown und Spectre

In Chrome lässt sich eine Option aktivieren, die das Risiko der Prozessor-Sicherheitslücke verringern soll. Mozilla hat ebenfalls Maßnahmen angekündigt, die die Auswirkungen der Lücke abmildern sollen.

Weiterlesen …

Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates

Nach diversen Spekulationen über Ursache und Auswirkungen der CPU-Sicherheitslücke nehmen Intel und Google Stellung. Google veröffentlicht Details, außerdem zeigten Sicherheitsforscher mit Spectre und Meltdown zwei Angriffsszenarien.

Weiterlesen …

Tracking-Skripte klauen E-Mail-Adressen aus Web-Browsern

Mittlerweile verfügen alle gängigen Browser über einen integrierten Login-Manager. Diese Funktion ist nicht nur praktisch für Nutzer, sondern auch für zwielichtige Werbefirmen, die die Daten fürs User-Tracking zweckentfremden.

Weiterlesen …

Massive Lücke in Intel-CPUs erfordert umfassende Patches

Derzeit arbeiten Linux- und Windows-Entwickler mit Hochdruck an umfangreichen Sicherheits-Patches, die Angriffe auf Kernel-Schwachstellen verhindern sollen. Grund für die Eile: eine Intel-spezifische Sicherheitslücke.

Weiterlesen …

IOHIDeous: Zero-Day-Exploit für macOS veröffentlicht

Eine seit wohl 15 Jahren bestehende Schwachstelle kann es einem Angreifer ermöglichen, die Kontrolle über den Mac zu übernehmen. Der nun veröffentlichte Kernel-Exploit funktioniert in macOS bis hin zu 10.13 High Sierra.

Weiterlesen …

IT-Security | Microsoft®

Januar 2018

Keine Nachrichten in diesem Zeitraum vorhanden.

IT-Security | "The Hacker News"

Januar 2018

Flaw in Popular Transmission BitTorrent Client Lets Hackers Control Your PC Remotely

A critical vulnerability has been discovered in the widely used Transmission BitTorrent app that could allow hackers to remotely execute malicious code on BitTorrent users' computers and take control of them. The vulnerability has been uncovered by Google's Project Zero vulnerability reporting team, and one of its researchers Tavis Ormandy has also posted a proof-of-concept attack—just 40

Weiterlesen …

New Mirai Okiru Botnet targets devices running widely-used ARC Processors

The cybersecurity threat landscape has never been more extensive and is most likely to grow exponentially in 2018. Although the original creators of Mirai DDoS botnet have already been arrested and jailed, the variants of the infamous IoT malware are still in the game due to the availability of its source code on the Internet. Security researchers have spotted a new variant of infamous Mirai

Weiterlesen …

OnePlus Site’s Payment System Reportedly Hacked to Steal Credit Card Details

This year's first bad news for OnePlus users—a large number of OnePlus customers are reporting of fraudulent credit card transactions after buying products from the Chinese smartphone manufacturer's official online store. The claim initially surfaced on the OnePlus support forum over the weekend from a customer who said that two of his credit cards used on the company's official website was

Weiterlesen …

Satori IoT Botnet Exploits Zero-Day to Zombify Huawei Routers

Although the original creators of the infamous IoT malware Mirai have already been arrested and sent to jail, the variants of the notorious botnet are still in the game due to the availability of its source code on the Internet. Hackers have widely used the infamous IoT malware to quietly amass an army of unsecured internet-of-things devices, including home and office routers, that could be

Weiterlesen …

Fourth Fappening Hacker Admits to Stealing Celebrity Pics From iCloud Accounts

Almost three years after the massive leakage of high-profile celebrities' nude photos—well known as "The Fappening" or "Celebgate" scandal—a fourth hacker has been charged with hacking into over 250 Apple iCloud accounts belonged to Hollywood celebrities. A federal court has accused George Garofano, 26, of North Branford, of violating the Computer Fraud and Abuse Act, who had been arrested by

Weiterlesen …

Skype Finally Adds End-to-End Encryption for Private Conversations

Good news for Skype users who are concerned about their privacy. Microsoft is collaborating with popular encrypted communication company Signal to bring end-to-end encryption support to Skype messenger. End-to-end encryption assured its users that no one, not even the company or server that transmits the data, can decrypt their messages. Signal Protocol is an open source cryptographic protocol

Weiterlesen …

Warning: New Undetectable DNS Hijacking Malware Targeting Apple macOS Users

A security researcher has revealed details of a new piece of undetectable malware targeting Apple's Mac computers—reportedly first macOS malware of 2018. Dubbed OSX/MaMi, an unsigned Mach-O 64-bit executable, the malware is somewhat similar to DNSChanger malware that infected millions of computers across the world in 2012. DNSChanger malware typically changes DNS server settings on infected

Weiterlesen …

New Intel AMT Security Issue Lets Hackers Gain Full Control of Laptops in 30 Seconds

It's been a terrible new-year-starting for Intel. Researchers warn of a new attack which can be carried out in less than 30 seconds and potentially affects millions of laptops globally. As Intel was rushing to roll out patches for Meltdown and Spectre vulnerabilities, security researchers have discovered a new critical security flaw in Intel hardware that could allow hackers to access

Weiterlesen …

macOS Malware Creator Charged With Spying on Thousands of PCs Over 13 Years

The U.S. Justice Department unsealed 16-count indictment charges on Wednesday against a computer programmer from Ohio who is accused of creating and installing spyware on thousands of computers for more than 13 years. According to the indictment, 28-year-old Phillip R. Durachinsky is the alleged author of FruitFly malware that was found targeting Apple Mac users earlier last year worldwide,

Weiterlesen …

[Bug] macOS High Sierra App Store Preferences Can Be Unlocked Without a Password

Yet another password vulnerability has been uncovered in macOS High Sierra, which unlocks App Store System Preferences with any password (or no password at all). A new password bug has been discovered in the latest version of macOS High Sierra that allows anyone with access to your Mac to unlock App Store menu in System Preferences with any random password or no password at all.

Weiterlesen …

Microsoft Releases Patches for 16 Critical Flaws, Including a Zero-Day

If you think that only CPU updates that address this year's major security flaws—Meltdown and Spectre—are the only ones you are advised to grab immediately, there are a handful of major security flaws that you should pay attention to. Microsoft has issued its first Patch Tuesday for 2018 to address 56 CVE-listed flaws, including a zero-day vulnerability in MS Office related that had been

Weiterlesen …

WhatsApp Flaw Could Allow 'Potential Attackers' to Spy On Encrypted Group Chats

A more dramatic revelation of 2018—an outsider can secretly eavesdrop on your private end-to-end encrypted group chats on WhatsApp and Signal messaging apps. Considering protection against three types of attackers—malicious user, network attacker, and malicious server—an end-to-end encryption protocol plays a vital role in securing instant messaging services. The primary purpose of having

Weiterlesen …

Wi-Fi Alliance launches WPA3 protocol with new security features

The Wi-Fi Alliance has finally announced the long-awaited next generation of the wireless security protocol—Wi-Fi Protected Access (WPA3). WPA3 will replace the existing WPA2—the network security protocol that has been around for at least 15 years and widely used by billions of wireless devices every day, including smartphones, laptops and Internet of things. However, WPA2 has long been

Weiterlesen …

Critical Unpatched Flaws Disclosed In Western Digital 'My Cloud' Storage Devices

Security researchers have discovered several severe vulnerabilities and a secret hard-coded backdoor in Western Digital's My Cloud NAS devices that could allow remote attackers to gain unrestricted root access to the device. Western Digital's My Cloud (WDMyCloud) is one of the most popular network-attached storage devices which is being used by individuals and businesses to host their files,

Weiterlesen …

[Guide] How to Protect Your Devices Against Meltdown and Spectre Attacks

Recently uncovered two huge processor vulnerabilities called Meltdown and Spectre have taken the whole world by storm, while vendors are rushing out to patch the vulnerabilities in its products. The issues apply to all modern processors and affect nearly all operating systems (Windows, Linux, Android, iOS, macOS, FreeBSD, and more), smartphones and other computing devices made in the past 20

Weiterlesen …

Hundreds of GPS Location Tracking Services Leaving User Data Open to Hackers

Security researchers have unearthed multiple vulnerabilities in hundreds of GPS services that could enable attackers to expose a whole host of sensitive data on millions of online location tracking devices managed by vulnerable GPS services. The series of vulnerabilities discovered by two security researchers, Vangelis Stykas and Michael Gruhn, who dubbed the bugs as 'Trackmageddon' in a

Weiterlesen …

Meltdown and Spectre CPU Flaws Affect Intel, ARM, AMD Processors

Unlike the initial reports suggested about Intel chips being vulnerable to some severe ‘memory leaking’ flaws, full technical details about the vulnerabilities have now been emerged, which revealed that almost every modern processor since 1995 is vulnerable to the issues. Disclosed today by Google Project Zero, the vulnerabilities potentially impact all major CPUs, including those from AMD,

Weiterlesen …

Huge Flaws Affect Nearly Every Modern Device; Patch Could Hit CPU Performance

UPDATE: Researchers have finally disclosed complete technical details of two kernel side-channel attacks, Meltdown and Spectre—which affect not only Intel but also systems and devices running AMD, ARM processors—allowing attackers to steal sensitive data from the system memory. ____________ The first week of the new year has not yet been completed, and very soon a massive vulnerability is

Weiterlesen …

Critical Flaw Reported In phpMyAdmin Lets Attackers Damage Databases

A critical security vulnerability has been reported in phpMyAdmin—one of the most popular applications for managing the MySQL database—which could allow remote attackers to perform dangerous database operations just by tricking administrators into clicking a link. Discovered by an Indian security researcher, Ashutosh Barot, the vulnerability is a cross-site request forgery (CSRF) attack and

Weiterlesen …

Flaw In Major Browsers Allows 3rd-Party Scripts to Steal Your Saved Passwords

Security researchers have uncovered how marketing companies have started exploiting an 11-year-old bug in browsers' built-in password managers, which allow them to secretly steal your email address for targeted advertising across different browsers and devices. The major concern is that the same loophole could allow malicious actors to steal your saved usernames and passwords from browsers

Weiterlesen …

15-Year-Old Apple macOS 0-Day Kernel Flaw Disclosed, Allows Root Access

A security researcher on New Year's eve made public the details of an unpatched security vulnerability in Apple's macOS operating system that can be exploited to take complete control of a system. On the first day of 2018, a researcher using the online moniker Siguza released the details of the unpatched zero-day macOS vulnerability, which he suggests is at least 15 years old, and

Weiterlesen …

Forever 21 Confirms Security Breach Exposed Customer Credit Card Details

First notified in November of a data breach incident, popular clothing retailer Forever 21 has now confirmed that hackers stole credit card information from its stores throughout the country for several months during 2017. Although the company did not yet specify the total number of its customers affected by the breach, it did confirm that malware was installed on some point of sale (POS)

Weiterlesen …

IT-Security | Ubuntu

Januar 2018

USN-3531-1: Intel Microcode update

Ubuntu Security Notice USN-3531-1

11th January, 2018

intel-microcode update

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

The system could be made to expose sensitive information.

Software description

  • intel-microcode - Processor microcode for Intel CPUs

Weiterlesen …

USN-3530-1: WebKitGTK+ vulnerabilities

Ubuntu Security Notice USN-3530-1

11th January, 2018

webkit2gtk vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS

Summary

WebKitGTK+ could be made to expose sensitive information.

Software description

  • webkit2gtk - Web content engine library for GTK+

Weiterlesen …

USN-3520-1: PySAML2 vulnerability

Ubuntu Security Notice USN-3520-1

8th January, 2018

python-pysaml2 vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS

Summary

PySAML2 could allow authentication without a password.

Software description

  • python-pysaml2 - Pure python implementation of SAML2

Weiterlesen …

USN-3519-1: Tomcat vulnerabilities

Ubuntu Security Notice USN-3519-1

8th January, 2018

tomcat7, tomcat8 vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Several security issues were fixed in Tomcat.

Software description

  • tomcat7 - Servlet and JSP engine
  • tomcat8 - Servlet and JSP engine

Weiterlesen …

USN-3518-1: AWStats vulnerability

Ubuntu Security Notice USN-3518-1

8th January, 2018

awstats vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

AWStats could be made to run programs if it received specially crafted network traffic.

Software description

  • awstats - powerful and featureful web server log analyzer

Weiterlesen …

USN-3517-1: poppler vulnerabilities

Ubuntu Security Notice USN-3517-1

8th January, 2018

poppler vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Several security issues were fixed in poppler.

Software description

  • poppler - PDF rendering library

Weiterlesen …

USN-3521-1: NVIDIA graphics drivers vulnerability

Ubuntu Security Notice USN-3521-1

9th January, 2018

nvidia-graphics-drivers-384 vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

The system could be made to expose sensitive information.

Software description

  • nvidia-graphics-drivers-384 - NVIDIA binary X.Org driver

Weiterlesen …

USN-3524-1: Linux kernel vulnerability

Ubuntu Security Notice USN-3524-1

9th January, 2018

linux vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 14.04 LTS

Summary

Several security issues were fixed in the Linux kernel.

Software description

  • linux - Linux kernel

Weiterlesen …

USN-3522-1: Linux kernel vulnerability

Ubuntu Security Notice USN-3522-1

9th January, 2018

linux, linux-aws, linux-euclid, linux-kvm vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 16.04 LTS

Summary

Several security issues were fixed in the Linux kernel.

Software description

  • linux - Linux kernel
  • linux-aws - Linux kernel for Amazon Web Services (AWS) systems
  • linux-euclid - Linux kernel for Intel Euclid systems
  • linux-kvm - Linux kernel for cloud environments

Weiterlesen …

USN-3523-1: Linux kernel vulnerabilities

Ubuntu Security Notice USN-3523-1

9th January, 2018

linux vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10

Summary

Several security issues were fixed in the Linux kernel.

Software description

  • linux - Linux kernel

Weiterlesen …

USN-3522-2: Linux (Xenial HWE) vulnerability

Ubuntu Security Notice USN-3522-2

9th January, 2018

linux-lts-xenial, linux-aws vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 14.04 LTS

Summary

Several security issues were fixed in the Linux kernel.

Software description

  • linux-aws - Linux kernel for Amazon Web Services (AWS) systems
  • linux-lts-xenial - Linux hardware enablement kernel from Xenial for Trusty

Weiterlesen …

USN-3525-1: Linux kernel vulnerability

Ubuntu Security Notice USN-3525-1

10th January, 2018

linux vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 12.04 LTS

Summary

The system could be made to expose sensitive information.

Software description

  • linux - Linux kernel

Weiterlesen …

USN-3524-2: Linux kernel (Trusty HWE) vulnerability

Ubuntu Security Notice USN-3524-2

9th January, 2018

linux-lts-trusty vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 12.04 LTS

Summary

The system could be made to expose sensitive information.

Software description

  • linux-lts-trusty - Linux hardware enablement kernel from Trusty for Precise ESM

Weiterlesen …

USN-3522-4: Linux kernel (Xenial HWE) regression

Ubuntu Security Notice USN-3522-4

10th January, 2018

linux-lts-xenial regression

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 14.04 LTS

Summary

USN-3522-2 introduced a regression in the Linux Hardware Enablement kernel.

Software description

  • linux-lts-xenial - Linux hardware enablement kernel from Xenial for Trusty

Weiterlesen …

USN-3522-3: Linux kernel regression

Ubuntu Security Notice USN-3522-3

10th January, 2018

linux regression

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 16.04 LTS

Summary

USN-3522-1 introduced a regression in the Linux kernel.

Software description

  • linux - Linux kernel

Weiterlesen …

USN-3528-1: Ruby vulnerabilities

Ubuntu Security Notice USN-3528-1

10th January, 2018

ruby1.9.1, ruby2.3 vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Several security issues were fixed in Ruby.

Software description

  • ruby1.9.1 - Interpreter of object-oriented scripting language Ruby
  • ruby2.3 - Interpreter of object-oriented scripting language Ruby

Weiterlesen …

USN-3527-1: Irssi vulnerabilities

Ubuntu Security Notice USN-3527-1

10th January, 2018

irssi vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Several security issues were fixed in Irssi.

Software description

  • irssi - terminal based IRC client

Weiterlesen …

USN-3523-3: Linux kernel (Raspberry Pi 2) vulnerabilities

Ubuntu Security Notice USN-3523-3

10th January, 2018

linux-raspi2 vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10

Summary

Several security issues were fixed in the Linux kernel.

Software description

  • linux-raspi2 - Linux kernel for Raspberry Pi 2

Weiterlesen …

USN-3523-2: Linux kernel (HWE) vulnerabilities

Ubuntu Security Notice USN-3523-2

10th January, 2018

linux-hwe, linux-azure, linux-gcp, linux-oem vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 16.04 LTS

Summary

Several security issues were fixed in the Linux kernel.

Software description

  • linux-azure - Linux kernel for Microsoft Azure Cloud systems
  • linux-gcp - Linux kernel for Google Cloud Platform (GCP) systems
  • linux-hwe - Linux hardware enablement (HWE) kernel
  • linux-oem - Linux kernel for OEM processors

Weiterlesen …

USN-3526-1: SSSD vulnerability

Ubuntu Security Notice USN-3526-1

10th January, 2018

sssd vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.04
  • Ubuntu 16.04 LTS

Summary

SSSD could be made to expose sensitive information.

Software description

  • sssd - System Security Services Daemon -- metapackage

Weiterlesen …

USN-3477-4: Firefox regression

Ubuntu Security Notice USN-3477-4

3rd January, 2018

firefox regression

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

USN-3477-1 caused a regression in Firefox.

Software description

  • firefox - Mozilla Open Source web browser

Weiterlesen …

USN-3514-1: WebKitGTK+ vulnerabilities

Ubuntu Security Notice USN-3514-1

3rd January, 2018

webkit2gtk vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS

Summary

Several security issues were fixed in WebKitGTK+.

Software description

  • webkit2gtk - Web content engine library for GTK+

Weiterlesen …

USN-3480-3: Apport regression

Ubuntu Security Notice USN-3480-3

3rd January, 2018

apport regression

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS

Summary

USN-3480-2 introduced regressions in Apport.

Software description

  • apport - automatically generate crash reports for debugging

Weiterlesen …

USN-3515-1: Ruby vulnerability

Ubuntu Security Notice USN-3515-1

4th January, 2018

ruby1.9.1, ruby2.0, ruby2.3 vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Ruby could be made to execute arbitrary commands if opened a specially crafted file.

Software description

  • ruby1.9.1 - Object-oriented scripting language
  • ruby2.0 - Object-oriented scripting language
  • ruby2.3 - Interpreter of object-oriented scripting language Ruby

Weiterlesen …

USN-3430-3: Dnsmasq regression

Ubuntu Security Notice USN-3430-3

4th January, 2018

dnsmasq regression

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 12.04 LTS

Summary

USN-3430-2 introduced regression in Dnsmasq.

Software description

  • dnsmasq - Small caching DNS proxy and DHCP/TFTP server

Weiterlesen …

Linux® | Kubuntu

Januar 2018

Plasma 5.11.5 bugfix release available in backports PPA for Artful Aardvark 17.10

The 5th and final bugfix update (5.11.5) of the Plasma 5.11 series is now available for users of Kubuntu Artful Aardvark 17.10 to install via our Backports PPA. This update also includes an upgrade of KDE Frameworks to version 5.41. To update, add the following repository to your software sources...

Weiterlesen …

Linux® | Ubuntu

Januar 2018

Meltdown and Spectre Status Update

On Tuesday, January 9, 2018 we released Ubuntu kernel updates for mitigation of CVE-2017-5754 (aka Meltdown / Variant 3) for the x86-64 architecture. Releases were made for the following supported Ubuntu series: 12.04 ESM Precise (kernel v3.2) 14.04 LTS Trusty (kernel v3.13) 16.04 LTS Xenial (kernel v4.4) 17.10 Artful (kernel v4.13) Optimized kernels based on […]

Weiterlesen …

Ubuntu Server Development Summary – 09 Jan 2018

Hello Ubuntu Server! The purpose of this communication is to provide a status update and highlights for any interesting subjects from the Ubuntu Server Team. If you would like to reach the server team, you can find us at the #ubuntu-server channel on Freenode. Alternatively, you can sign up and use the Ubuntu Server Team […]

Weiterlesen …

LXD Weekly Status #29

Introduction And we’re back from the holidays! This “weekly” summary is covering everything that happened the past 3 weeks. The big highlight was the release of LXD 2.21 on the 19th of December. During the holidays, we merged quite a number of bugfixes and smaller features in LXC and LXD with the bigger feature development only resuming […]

Weiterlesen …

Announcing the Dell XPS 13 Developer Edition 9370 with Ubuntu

We’re excited to see Dell announce the availability of the 7th gen XPS 13 Developer Edition (9370) which comes preloaded with Ubuntu. Canonical have been part of Dell’s Project Sputnik project since Day 1, and five years later we are delighted to see it continue. In fact, our VP of Product Dustin Kirkland was one […]

Weiterlesen …

Dustin Kirkland: Ubuntu Updates for the Meltdown / Spectre Vulnerabilities


For up-to-date patch, package, and USN links, please refer to: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown


Unfortunately, you’ve probably already read about one of the most widespread security issues in modern computing history -- colloquially known as “Meltdown” (CVE-2017-5754) and “Spectre” (CVE-2017-5753 and CVE-2017-5715) -- affecting practically every computer built in the last 10 years, running any operating system. That includes Ubuntu.

I say “unfortunately”, in part because there was a coordinated release date of January 9, 2018, agreed upon by essentially every operating system, hardware, and cloud vendor in the world. By design, operating system updates would be available at the same time as the public disclosure of the security vulnerability. While it happens rarely, this an industry standard best practice, which has broken down in this case.

At its heart, this vulnerability is a CPU hardware architecture design issue. But there are billions of affected hardware devices, and replacing CPUs is simply unreasonable. As a result, operating system kernels -- Windows, MacOS, Linux, and many others -- are being patched to mitigate the critical security vulnerability.

Canonical engineers have been working on this since we were made aware under the embargoed disclosure (November 2017) and have worked through the Christmas and New Years holidays, testing and integrating an incredibly complex patch set into a broad set of Ubuntu kernels and CPU architectures.

Ubuntu users of the 64-bit x86 architecture (aka, amd64) can expect updated kernels by the original January 9, 2018 coordinated release date, and sooner if possible. Updates will be available for:

  • Ubuntu 17.10 (Artful) -- Linux 4.13 HWE
  • Ubuntu 16.04 LTS (Xenial) -- Linux 4.4 (and 4.4 HWE)
  • Ubuntu 14.04 LTS (Trusty) -- Linux 3.13
  • Ubuntu 12.04 ESM** (Precise) -- Linux 3.2
    • Note that an Ubuntu Advantage license is required for the 12.04 ESM kernel update, as Ubuntu 12.04 LTS is past its end-of-life
Ubuntu 18.04 LTS (Bionic) will release in April of 2018, and will ship a 4.15 kernel, which includes the KPTI patchset as integrated upstream.

Ubuntu optimized kernels for the Amazon, Google, and Microsoft public clouds are also covered by these updates.

These kernel fixes will not be Livepatch-able. The source code changes required to address this problem is comprised of hundreds of independent patches, touching hundreds of files and thousands of lines of code. The sheer complexity of this patchset is not compatible with the Linux kernel Livepatch mechanism. An update and a reboot will be required to active this update.

Furthermore, you can expect Ubuntu security updates for a number of other related packages, including CPU microcode, GC

Weiterlesen …

Ubuntu Updates for the Meltdown / Spectre Vulnerabilities

  For up-to-date patch, package, and USN links, please refer to: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown   Unfortunately, you’ve probably already read about one of the most widespread security issues in modern computing history — colloquially known as “Meltdown” (CVE-2017-5754) and “Spectre” (CVE-2017-5753 and CVE-2017-5715) — affecting practically every computer built in the last 10 years, running any operating […]

Weiterlesen …

Accessing the Juju CLI from within the GUI

In the Juju GUI 2.11.1 release, we are excited to bring a new feature we’ve been working on for a while now: the shell in the GUI. The GUI is a powerful tool, but at times the command-line is necessary. For instance, the ability to SSH into a unit helps for debugging processes or accessing […]

Weiterlesen …

Microsoft® | TechNet

Januar 2018

Kalenderwoche 2/2018 im Rückblick: Zehn interessante Links für IT-Experten

Was hat sich in der vergangenen Woche für IT-Professionals getan? Gab es wichtige Ankündigungen oder neue Wissensressourcen? Unser TechNet Blog Deutschland-Team hat zehn interessante Links für Sie zusammengestellt. Viel Spaß beim Stöbern! Projekt Honolulu: Neue technische Preview verfügbar (engl.) Windows 10: On-Demand-Dateizugriff für Work Folder (engl.) PowerShell Core 6.0 ist offiziell verfügbar (engl.) Enterprise Mobility...

Weiterlesen …

Kalenderwoche 1/2018 im Rückblick: Zehn interessante Links für IT-Experten

Was hat sich in der vergangenen Woche für IT-Professionals getan? Gab es wichtige Ankündigungen oder neue Wissensressourcen? Unser TechNet Blog Deutschland-Team hat zehn interessante Links für Sie zusammengestellt. Viel Spaß beim Stöbern! Schutz für Azure-Kunden vor der CPU-Schwachstelle (engl.) Neuerungen bei Office 365 Security & Compliance (engl.) Spekulative Execution Side-Channel-Attacken bei Internet Explorer und Microsoft...

Weiterlesen …

Automatisch generiert