Schlagwort: vulnerable

  • 250.000 Dollar Prämie: Microsoft zahlt für Sicherheitslücken

    Du liebst es, Windows auf den Kopf zu stellen und Sicherheitslücken zu finden? Dann kannst du dir das auch bezahlen lassen. Microsoft zahlt für das Auffinden von Sicherheitslücken ein Kopfgeld bis zu 250.000 USD. Schon unter Windows 8.1 wurden über das Bug-Bounty-Programm für schwerwiegende Sicherheitslücken bis zu 100.000 Dollar ausgeschüttet. Das neue Kopfgeld-Programm wurde erweitert und startete am 27.07.2017.

    Natürlich gibt es nicht für jede Kleinigkeit so viel Geld. Die Prämien sind gestaffelt und beginnen bei 500 Dollar. Neu ist dabei, dass auch Prämien für das Auffinden von Sicherheitslücken in Windows Insider Previews (Beta-Versionen) gezahlt werden, die für jedermann zugänglich sind.

    Die höchsten Beträge, zwischen 5.000 und 250.000 USD, werden für Lücken in Microsoft Hyper-V der Betriebssysteme Windows 10, Windows Server 2012/2012 R2 und Windows Server Insider Preview gezahlt.

    Selbst für integrierte Missbrauchstechniken von Schutzvorrichtungen in der aktuellen Windows-Version zahlt Microsoft bis zu 200.000 Dollar.

    Weitere Informationen zum Microsoft Bug-Bounty-Programm findest du auf der Technet-Seite von Microsoft.

  • So schützt du dich vor der gefährlichen Android-Sicherheitslücke „Stagefright“

    So schützt du dich vor der gefährlichen Android-Sicherheitslücke „Stagefright“

    Vor kurzem wurde die Sicherheitslücke Stagefright bekannt, die fast eine Milliarde Smartphones (mit Android 2.2 oder höher) in höchstem Maße angreifbar macht. Ein effektiver Schutz ist aber auch ohne Zusatzsoftware möglich.

    Schadhafter Multimedia-Code

    Bei dem Sicherheitsleck handelt es sich gleich um eine ganze Reihe ähnlicher Fehler, die Lücken im Multimedia-Code des Android-Betriebssystems erzeugen. In Multimedia-Nachrichten (z. B. bei WhatsApp) versteckte Trojaner oder Viren können so auf das Gerät gelangen.

    google-android-sicherheitsleck-virus-stagefright-beheben-absichern

     

    Als besonders kritisch ist dabei Google Hangouts zu bewerten. Um Schadsoftware auf einem Gerät zu platzieren, ist nicht einmal die geöffnete Hangouts-App erforderlich.

    Gegenmaßnahmen

    Es lässt sich aber leicht verhindern, dass infizierte Multimedia-Nachrichten ungefragt auf dem Handy oder dem Tablet landen. Du schaltest einfach den automatischen Download von Multimedia-Dateien ab.

    Dies geht zum Beispiel bei WhatsApp im Bereich Medien Auto-Download. Hier wählst du bei allen Verbindungsarten einfach die Option Keine Medien.

    stagefrigt-beheben-bug-abschalten-auto-download-multimedia-datei-android

    Hangouts und andere Multimedia-Messenger lassen sich auf die gleiche Weise anpassen. Wenn nicht, solltest du sicherheitshalber auf einen anderen Nachrichtendienst ausweichen.

    Google hat auch schon reagiert

    Google hat zwar bereits entsprechend reagiert und den Smartphone-Herstellern einen Sicherheitspatch zur Verfügung gestellt. Bis dieser aber für die Kunden aufbereitet ist, wird wohl noch einige Zeit ins Land gehen.

    Unsicher bleibt es für die Nutzer von Geräten der unteren Preisklasse. Vermutlich werden die Hersteller dieser Geräte keine Firmware-Updates anbieten.

    Vorsicht vor dem Sicherheitsupdate CVE-2015-1538.apk

    Verschiedene Online-Abzocker können angeblich schon ein Sicherheitsupdate liefern. Die vermeintliche Sicherheitssoftware CVE-2015-1538.apk ist aber ein klassischer Trojaner und kommuniziert mit russischen Domains.

    heise-security-trojaner-stagefright-android-versteckt-sicherheitsupdate

    Der Trojaner verschafft sich den Zugang zu den GPS-Koordinaten, der Kamera und dem Mikrofon. Die Rechte für SMS, Telefonie und dem Auslesen von Speicherkarten werden ebenfalls umgangen. Diese und weitere Informationen wurden von Heise Security vor ein paar Tagen veröffentlicht.

    Über die Webseite von Heise gelangt man auch zu einer Stagefright Detector App (kostenlos), die dein Gerät auf Anfälligkeit testet.

  • Mozilla Firefox: Sicherheitsprüfung aller Plug-Ins, Add-Ons und Erweiterungen

    Bei jedem Start des Mozilla Firefox wird automatisch geprüft, ob es für Ihre installierten Add-Ons ein neues Update existiert. Allerdings nicht bei allen. Plug-Ins wie der Flash-Player, VLC, etc. werden nicht geprüft. Ein potenzielles Sicherheitrisiko, denn nur bei den aktuellsten Versionen der Plug-Ins werden Sicherheitslücken geschlossen. Bei veralteten Plug-Ins ist die Gefahr eines Virenbefalls sehr groß. Abhilfe schafft ein regelmäßiger Check und die Aktualisierung der Erweiterungen. Mit ein paar Handgriffen können Sie mit Firefox alle Add-Ons und Plug-Ins aktualisieren.

    So stellen Sie sicher, dass alle Erweiterungen und Plugins auf dem neuesten Stand sind:

    1. Starten Sie den Mozilla Firefox und geben in die Adresszeile den Befehl „about:plugins“ ein und drücken die [Enter]-Taste.

    2. Im nachfolgenden Fenster wird eine Liste alle installierten Plug-Ins angezeigt, die aber für die nächsten Arbeitsschritte nicht weiter wichtig ist. Klicken Sie hier nur auf den Link: „mozilla.com/plugincheck“.

    3. Die Prüfung aller Plug-Ins erfolgt sofort und nach und nach wird das Ergebnis angezeigt.

    4. In der Ergebnisliste werden nun die Erweiterungen mit dem aktuellen Status  und einer dazugehörigen Schaltfläche angezeigt:

    • Aktuell (Up to Date) = alles ok!
    • Veraltete Version (outdated) = muß aktualisiert werden!
    • Gefahr! (vulnerable) = enthält mindestens eine Sicherheitslücke!!
    • Unbekanntes Plugin (unknown) = ist bei Firefox unbekannt und muß über die Herstellerseite aktualisiert werden.

    Zur Aktualisierung klicken Sie auf die Schaltflächen der Erweiterungen, die von Firefox erkannt wurden.

    Bei den unbekannten Plugins öffnet ein Klick auf die Schaltfläche „Suchen“, eine Google-Suche mit entsprechendem Ergebnis. Suchen Sie sich hier den passenden Anbieter heraus.

    Unsere Empfehlung: Führen Sie diesen Sicherheits-Check in wöchentlichem Rhythmus durch, um immer auf aktuellstem Stand zu sein.