Security

1. Firefox 95: Neue Sandbox-Technik verbessert Browser-Sicherheit

   Die jetzt veröffentlichte Version 95 von Firefox schließt 13 Sicherheitslücken und liefert eine neuartige Sandbox mit. Firefox ESR erscheint in Version 91.4.

2. Patchday: Android gegen Schadcode-Attacken gerüstet

   Google hat in den Android-Versionen 9, 10, 11 und 12 zum Teil kritische Sicherheitslücken geschlossen.

3. 22 Sicherheitslücken in Chrome geschlossen

   Es sieht so aus, als könnten Angreifer Computer mit dem Webbrowser Chrome mit Schadcode attackieren.

4. heise-Angebot: iX-Workshops: KRITIS – Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG

   Auditoren erwerben in diesem zweitägigen Online-Kurs zu KRITIS Prüfungskompetenz. Bis 10. Januar 2022 10 % Rabatt sichern.

5. Microsoft gelingt Schlag gegen chinesische Cybergang "Nickel"

   Die Digital Crimes Unit von Microsoft konnte Webseiten einer Cybercrime-Gang beschlagnahmen und so deren Aktivitäten stören.

6. Code-Schmuggel-Sicherheitslücke in Windows nur halbherzig geschlossen

   Eine Lücke in Windows, die bösartige Webseiten zum Ausführen von Schadcode missbrauchen könnte, lässt sich trotz Update noch eingeschränkt missbrauchen.

7. Kritische Root-Lücke bedroht Industriesteuerungssystem WebHMI

   Es gibt ein wichtiges Sicherheitsupdate für das SCADA-System WebHMI von Distributed Data Systems.

8. Knapp 114 Millionen Nutzernamen und E-Mail-Adressen von Gravatar geknackt

   167 Millionen Namen, Nutzernamen und Hashes von Mail-Adressen von Gravatar-Nutzern kursieren im Untergrund. Teils lassen sie sich etwa für Phishing ausnutzen.

9. Warten aufs Sicherheitsupdate: Krypto-Miner oom_reaper sieht es auf Qnap-NAS ab

   Qnap analysiert aktuelle Vorfälle, bei denen Schädlinge NAS-Systeme befallen, um darauf Krypto-Währungen zu schürfen.

10. Angreifer attackieren PC-Management-Software Zoho ManageEngine Desktop Central

    Nur die neusten Versionen schützen die Software. Zoho rät zu zügigen Updates.

11. Kaseya schließt teils kritische Sicherheitslücken in Unitrend Backup

    Die Unitrend Recovery und Agents-Produktreihen von Kaseya enthalten Schwachstellen, durch die Angreifer beliebigen Code einschleusen und ausführen könnten.

12. heise-Angebot: Am Donnerstag: Webinar zum Schutz vor Ransomware

    Erfahren Sie, worauf es beim Schutz vor Erpressungstrojanern in einem Unternehmenskontext ankommt und wie Sie die einzelnen Maßnahmen sinnvoll kombinieren.

13. Tor-Netzwerk: KAX17 führt massive Deanonymisierungsangriffe durch

    Laut einem IT-Sicherheitsforscher betreibt ein mysteriöser Akteur seit 2017 große Teile des Anonymisierungsdiensts Tor, womit dieser unterwandert werde.

14. Mit NSO-Spyware: Mindestens neun iPhones in US-Außenministerium infiltriert

    Laut einem Medienbericht wurden Mobiltelefone von Mitarbeitern des US-Außenministeriums gehackt. Dabei soll Software der NSO Group zum Einsatz gekommen sein.

15. Automatische Analyse: Potenzielle Schwachstellen in populären WLAN-Routern

    Mit automatischen Analysen haben Forscher Firmwares weitverbreiteter Router-Modelle untersucht. Updates dichten dabei gefundene mögliche Sicherheitslücken ab.