Comretix Blog

Angreifer können Systeme, auf denen Foxit PDF Editor oder Reader installiert ist, aufgrund von Schwachstellen in der Software attackieren. Für eine erfolgreiche Attacke müssen Opfer aber mit Schadcode versehene PDF-Dateien öffnen.

Anzeige

Aus dem Sicherheitsbereich der Foxit-Website geht hervor, dass PDF-Dateien mit interaktiven Formularen nach dem XML-Forms-Architecture-Standard (XFA) manipuliert werden können. Wie das im Detail vonstattengehen kann, ist derzeit nicht bekannt.

Bringen Angreifer Opfer dazu, solch eine Datei zu öffnen, führt die Verarbeitung der XFA-Elemente zu Fehlern und Angreifer können unter anderem im System eigene Befehle ausführen. Im Rahmen dieser Problematik nennen die Entwickler keine CVE-Nummern. Demzufolge ist eine standardisierte Einstufung der Gefahr derzeit nicht möglich.

Weiterhin sind Manipulationen von PDF-Formularen mit AcroForms-Elementen vorstellbar. Das Öffnen einer solchen Datei führt zu Speicherfehlern und Abstürzen. In der Regel kann es in so einem Fall auch zur Ausführung von Schadcode kommen. Die Einstufung des Bedrohungsgrads der Lücken (CVE-2024-49576, CVE-2024-47810) steht zurzeit noch aus.

Passwort, der Podcast von heise security, legt in Folge 21 mit ZUGFeRD los, einem Standard für die E-Rechnung. ZUGFeRD-Dokumente sind eine Kombination aus PDF und XML, die Rechnungsdaten mehrfach enthalten. Praktisch, wenn man eine Rechnung inspizieren will, ohne ein Tool für das XML-Format zur Hand zu haben. Einige Podcast-Hörer sehen allerdings ein Sicherheitsproblem darin, dass die Daten in den beiden Formaten voneinander abweichen können. Die Hosts diskutieren, warum das gefährlich sein kann und was man am besten dagegen tut.

Anzeige

Synolgy hat aktualisierte Software-Pakete für den Media Server veröffentlicht. Sie schließen eine hochriskante Schwachstelle, die Angreifern das unbefugte Lesen von Dateien ermöglicht.

Anzeige

In der aktualisierten Sicherheitsmitteilung von Synology will das Unternehmen angeblich Details zur Sicherheitslücke nennen. Allerdings gehen die nicht sonderlich in die Tiefe: Eine Umgehung der Autorisierung aufgrund einer Schwachstelle durch Benutzer-kontrollierte Schlüssel im Streaming-Dienst des Synology Streaming Servers ermöglicht Angreifern, bestimmte Dateien auf nicht spezifizierten Wegen zu lesen (CVE-2024-4464, CVSS 7.5, Risiko "hoch").

Es bleibt unklar, wie genau Angriffe aussehen könnten und wie die Lücke sich genau von bösartigen Akteuren ausnutzen lässt. Es sind auch keine Indizien für einen Angriff bekannt.

Der Fehler betrifft die Synology Media Server für SRM 1.3 und für DSM 7.1 sowie 7.2. Für die stehen jeweils die Versionen 1.4-2680, 2.0.5-3152 und 2.2.0-3325 oder neuere zur Installation bereit. Der integrierte Update-Mechanismus sollte die verfügbare Aktualisierung anzeigen und je nach Einstellung bereits automatisch heruntergeladen und installiert haben. Wer Synology-Router und Synology-NAS-Systeme einsetzt, sollte sich zur Sicherheit jedoch einmal an der Web-Oberfläche der Geräte anmelden und prüfen, ob Updates bereitstehen, und diese zügig anwenden lassen.

792 Betrugsverdächtige hat die nigerianische Antikorruptionsbehörde EFCC nach eigenen Angaben auf einen Schlag verhaftet. Sie arbeiteten in einem Callcenter, das ein sieben Geschoße hohes Bürogebäude in Lagos ausfüllte. Das Callcenter soll vorzugsweise deutsche und italienische Rufnummer genutzt haben und auf das Vorgaukeln großer Liebe ("Romance Scam") spezialisiert gewesen ein. Ziel war insbesondere Anlagebetrug mit Kryptowährungen.

Anzeige

Die EFCC (Economic and Financial Crimes Commission) betont, dass die Hinterleute keine Nigerianer sind. Die Callcenter-Mitarbeiter kontaktieren Menschen in den USA, Kanada, Mexiko und diversen europäischen Ländern über Whatsapp, Instagram und Telegram. Erstes Ziel der Täter war, die Opfer in Konversationen zu verwickeln und schließlich zu romantischem Vertrauen zu verleiten. Die für Whatsapp genutzten Telefonnummern sollen vor allem aus Deutschland und Italien sein. Ohne örtliche Infrastruktur ging es natürlich nicht: "Alleine im vierten Stock haben Ermittler 500 SIM-Karten lokaler Netzbetreiber gefunden", berichtet die EFCC.

Die offenbar noch unbekannten Betreiber des Callcenters haben laut Behörde junge Menschen gesucht, die gut auf Tastaturen schreiben können. Bestanden sie den Aufnahmetest, folgte eine zwei Wochen lange Schulung. Gelehrt wurde die Kunst, sich verliebt habende ausländische Frauen zu spielen, und Opfer davon zu überzeugen, in betrügerische Systeme zu investieren. Dafür war unter www.yooto.com eine "investment shopping platform" aufgesetzt (nicht mehr online, Anmerkung), die gleich einmal 35 US-Dollar für die Anmeldung verlangte. Sie verleitete zu angeblichen Investitionen in Kryptowährungen und Unternehmen.

Der Tator und die Verdächtigen

Der im Oktober vom Bundesministerium der Justiz (BMJ) in die Ressortabstimmung gegebene Gesetzentwurf zur Modernisierung des Computerstrafrechts zielt darauf ab, IT-Sicherheitsforschern die verantwortungsvolle Identifikation und Schließung von Sicherheitslücken zu erleichtern. Dieser Ansatz geht prinzipiell in die richtige Richtung, erklären Vertreter der Zivilgesellschaft im Rahmen einer vom BMJ organisierten Verbändeanhörung. Das Vorhaben müsse aber noch an diversen Stellen verbessert und vor allem zeitnah vom Bundestag verabschiedet werden – am besten noch vor der Neuwahl im Februar. Das BMJ setzt vor allem darauf, Paragraf 202a Strafgesetzbuchs (StGB) zu entschärfen, in dem es um das Ausspähen und Abfangen von Daten sowie Vorbereitungshandlungen geht. Er führte jüngst zur Verurteilung eines Programmierers im Fall Modern Solution.

Anzeige

Die Bundesregierung sollte die verbleibende Zeit in der Legislaturperiode nutzen, um endlich die Rechtsunsicherheit in der IT-Sicherheitsforschung zu reduzieren und die Cybersicherheit in Deutschland nachhaltig zu stärken, betont Nikolas Becker, Leiter Politik & Wissenschaft bei der Gesellschaft für Informatik (GI). "Dabei wäre es wichtig, Vorbereitungshandlungen zur IT-Sicherheitsforschung klarer zu adressieren und den rechtssicheren Nachweis lauterer Absichten zu vereinfachen." In einer Stellungnahme hat die GI den Korrekturbedarf aus ihrer Sicht aufgezeigt. Für den Nachweis fehlten klare Kriterien.

Besonders umkämpft ist der eigentliche Hackerparagraf 202c StGB. Danach ist die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr zu ahnden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch etwa Systemadministratoren dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Die GI kritisiert ferner – wie zuvor der Chaos Computer Club (CCC) –, dass das BMJ diesen Paragrafen unverändert lassen will.

Auch die AG Kritis, die sich mit der Sicherheit kritischer Infrastrukturen befasst, unterstreicht in ihrer Stellungnahme den dringenden Handlungsbedarf. Dieser bestehe vor allem im Interesse von Forschern, "die sich ehrenamtlich und aus gemeinnützigem Interesse für die IT-Sicherheit in Deutschland engagieren". Die Rechtsunsicherheit führe zu einem besorgniserregenden "Chilling-Effekt": "Sicherheitslücken werden aus Angst vor strafrechtlichen Konsequenzen nicht mehr gemeldet, wodurch potenzielle Gefahren für die Allgemeinheit unentdeckt bleiben." Der vom BMJ gewählte Ansatz bringe hier Verbesserungen mit sich, sei aber nicht der bestmögliche. So dürften IT-Sicherheitsforscher künftig zwar regelmäßig vor Gericht freigesprochen werden. Das Risiko einer Hausdurchsuchung, der Beschlagnahmung von Hardware sowie des Aufwands des Führens eines Prozesses bleibe aber bestehen.

Kali Linux 2024.4 ist da und bringt unter anderem 14 neue Tools mit. Damit können Pentester und Sicherheitsforscher die Sicherheit von IT-Systemen noch ausführlicher abklopfen.

Anzeige

In einem Beitrag führen die Entwickler die Neuerungen aus. Zu den neuen Tools zählen unter anderem bloodyad zum Prüfen der Anfälligkeit von Active-Directory-Umgebungen für Attacken zur Rechteerhöhung. Hexwalk dient als Hex-Editor und mssqlpwner malträtiert MSSQl-Server.

Als Python-Interpreter fungiert nun Python 3.12. Das inzwischen implementierte OpenSSH (9.8p1) verarbeitet aus Sicherheitsgründen keine DSA-Schlüssel mehr. Wer damit arbeitende SSH-Server trotzdem untersuchen will, muss ab sofort den Befehl ssh1 statt ssh nutzen.

Außerdem geben die Entwickler das Ende von 32-Bit-Images und -Kernels bekannt. Es gibt aber nach wie vor noch 32-Bit-Pakete, die man etwa über i386-Docker-Images auf 64-Bit-Systemen ausführen kann.

Nach Kritik des Bundesrechnungshofs wegen fehlender Redundanz bei "einsatzwichtigen IT-Services" der Bundeswehr teilt das Bundesministerium für Verteidigung (BMVg) mit, dass solche Redundanz ab 2026 schrittweise geschaffen werden sollen. Das BMVg prüfe regelmäßig, welche Voraussetzungen "organisatorisch, strukturell und logistisch zu schaffen sind, um die Forderung nach Resilienz und Georedundanz für IT-Projekte bedarfsgerecht und unter Beachtung von Wirtschaftlichkeitsgesichtspunkten umzusetzen", sagte eine Sprecherin des Ministeriums.

Anzeige

Der Bundesrechnungshof hatte in der vergangenen Woche bei der Bundeswehr eine Gefährdung "einsatzwichtiger IT-Services" bemängelt. Unter anderem betreibe das BMVg "ein Rechenzentrum für einsatzwichtige IT-Services lediglich an einem Standort – und damit nicht georedundant". Der Bundesrechnungshof spreche damit das Projekt "Automatisiertes Archivierungssystem im Geoinformationsdienst der Bundeswehr" an, das "technisch grundsätzlich so ausgelegt ist, dass es an zwei Standorten betrieben werden kann", erklärte die BMVg-Sprecherin auf Anfrage von heise online. "Diese Georedundanz nach den Standortkriterien für die Rechenzentren im Geschäftsbereich des BMVg soll schrittweise ab dem Jahr 2026 umgesetzt werden."

Bezüglich der Finanzierung erklärte die Behördensprecherin, dass die "Regeneration und Konsolidierung der IT im Geoinformationsdienst der Bundeswehr" ein Teilprojekt des Herkules-Folgeprojekts ist und über den Einzelplan 14 finanziert werde. Darin wird auch die Mittelverwendung des sogenannten "Sondervermögens Bundeswehr" erläutert. Konkrete Hinweise auf den Bau und Betrieb von den genannten Rechenzentren finden sich jedoch nicht – lediglich die Kosten für "Satellitenkommunikation / Rechenzentrumsverbund".

Durch eine Umsetzung des Ausbaus und die Schaffung von Redundanz ab 2026 lässt das Verteidigungsministerium jedoch auf Jahre das von Bundesrechnungshof genannte Risiko offen, dass IT-Services für Waffensysteme im Einsatzfall nicht nutzbar seien.

Ab 2025 tritt in Deutschland die gesetzliche Verpflichtung zur strukturierten E-Rechnung im B2B-Bereich in Kraft. Das betrifft insbesondere Softwareentwickler und Hersteller von Faktura- oder ERP-Software, die nun ihre Produkte entsprechend anpassen müssen. Unser Workshop bietet Ihnen eine praxisnahe Anleitung, wie Sie die neuen XML-Formate des europäischen Rechnungsstandards EN16931, wie Cross Industry Invoice (CII), Universal Business Language (UBL), Factur-X und ZUGFeRD, sowie XRechnung im B2G-Bereich, unterstützen, prüfen und umwandeln können.

Anzeige

In unserem Workshop E-Rechnungspflicht: Software richtig implementieren erhalten Sie einen tiefgehenden Einblick in die Umsetzung der neuen gesetzlichen Vorgaben zur E-Rechnungspflicht. Sie beschäftigen sich mit den Rollen, den Darstellungsdetails, der Umwandlung, der Prüfung und Umsetzung der X(ML)-Rechnung. Dazu gehören praktische Übungen, in denen Sie die verschiedenen XML-Formate kennen und anwenden lernen.

Der Workshop findet vom 13. bis 17. Januar 2025 statt und richtet sich an Softwareentwickler und Projektleiter, die Software herstellen, Rechnungen erstellen oder einlesen, sowie an ERP-Softwarehersteller und Data Scientists, die Auswertungen erstellen. An drei Vormittagen (13., 15. und 17. Januar) treffen Sie sich online in der Gruppe mit dem Trainer. Für den zweiten und vierten Tag nehmen Sie Aufgaben mit, die Sie selbstständig lösen können und anschließend in der Gruppe besprechen.

Durch den Workshop führen Andreas Pelekies, technischer Erfinder des ZUGFeRD-Standards und (Co-)Autor verschiedener internationaler Standards, sowie Jochen Stärk, Diplom-Wirtschaftsinformatiker und Backend-Entwickler. Beide verfügen über langjährige Erfahrung in der Softwareentwicklung und haben sich auf Themen rund um die E-Rechnung spezialisiert.

In der Control-Panel-Software CyberPanel zur Verwaltung von (Web-)Servern wurden zwei Sicherheitslücken gemeldet. Sie erlauben Angriffe mit Cross-Site-Scripting oder das Einschleusen von Schadcode.

Anzeige

Eine der Sicherheitslücken ermöglicht Cross-Site-Scripting mittels Token oder Nutzernamen in plogical/phpmyadminsignin.php (CVE-2024-56112). Nutzern kann dadurch etwa mit manipulierten Links Code untergeschoben werden, der in ihrem Kontext ausgeführt wird. Die Entwickler haben die Lücke am 11. November im Quellcode gefixt.

Das zweite Sicherheitsleck betrifft CyberPanel vor Version 2.3.8 und erlaubt bösartigen Akteuren, nach Log-in in der Software beliebige Befehle mit Shell-Meta-Zeichen im phpSelection-Feld von der websites/submitWebsiteCreation-URI einzuschleusen und auszuführen (CVE-2024-53376).

Die Version 2.3.8 von CyberPanel erschien bereits am 1. November. Die Cross-Site-Scripting-Lücke ist in Version 2.3.9 offenbar nicht mehr dabei, ohne jedoch explizit im Changelog aufgeführt zu werden – dasselbe gilt jedoch auch für die Befehlsschmuggel-Lücke, die bereits die Vorgängerversion abdichtet.

Einige deutsche Unternehmen erhalten derzeit erheblich mehr Pakete als erwünscht. Urheber ist die russische dDoS-Bande NoName057(16), die gemeinsam mit Handlangern zu einer Aktion aufgerufen hat. Die Kriminellen erpressen dabei kein Lösegeld von Betroffenen, sondern nutzen die Angriffe als politische Botschaft.

Anzeige

In ihren Präsenzen auf der Plattform Telegram hat die von russischer Staatsräson beherrschte Gruppe mehrere Ziele bekannt gegeben, darunter der Waffenhersteller Walther und der Pressebereich des Vattenfall-Konzerns. Die Liste der Opfer wirkt wahllos, so enthält sie auch einen Hersteller von Holzwerkstoffen, Autozulieferer und ein Unternehmen für Bauchemie. Die angegriffenen Webseiten waren am Vormittag des 17. Dezember zwischenzeitlich schwer oder gar nicht erreichbar.

Am Vortag hatte sich die Paketflut unter anderem gegen zwei deutsche Bundesbehörden gerichtet: Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) sowie die Bundesnetzagentur wurden angeblich von einer Unterstützergruppe der Russen attackiert. Die hat in ihrer Siegesmeldung offenbar etwas zu dick aufgetragen: Weder das BfDI noch dessen Hoster, das ITZBund, bemerkten Auswirkungen des Angriffs, die BfDI-Webseite war nach Aussage der Behörde durchgehend erreichbar. Die Bundesnetzagentur antwortete nicht unmittelbar auf eine Anfrage durch heise security.

Auch gegen deutsche Medien will die Gruppe offenbar vorgehen. So stellte sie mittels eines Telegram-Bots an ihre Unterstützer eine Aufgabe, 30 URLs und E-Mail-Adressen deutscher Medienunternehmen zu sammeln – bereits am 16. Dezember griff NoName057(16) die Webseiten des "nd" an.

Die Dateiübertragungssoftware CrushFTP ist verwundbar. Sind Attacken erfolgreich, können Angreifer Systeme vollständig kompromittieren. Ein Sicherheitsupdate ist schon seit November dieses Jahres verfügbar. Informationen zur geschlossenen Schwachstelle wurden aber erst jetzt veröffentlicht.

Anzeige

Wer CrushFTP nutzt, sollte sicherstellen, dass Version 10.8.3 oder 11.2.3 installiert ist. Für CrushFTP 7, 8 und 9 ist der Support ausgelaufen und diese Ausgaben bekommen keine Sicherheitsupdates mehr. Wer noch so eine Version nutzt, sollte aus Sicherheitsgründen ein Upgrade durchführen.

Weil Eingaben im Host Header fehlerhaft verarbeitet werden, kann ein Angreifer ohne Authentifizierung an der "kritischen" Lücke (CVE-2024-11986) ansetzen. Im Zuge der Attacke kann er dauerhaft Schadcode im Web-Application-Log platzieren (Stored XSS). Ruft ein Admin das Log auf, wird der Schadcode ausgeführt.

Ob es bereits Angriffe gibt, ist derzeit nicht bekannt. Unklar bleibt auch, woran Admins attackierte PCs erkennen können.

Die Verbraucherzentrale Nordrhein-Westfalen warnt vor einer aktuellen Betrugsmasche, bei der Kriminelle mit fremden Kontodaten auf Einkaufstour gehen. Schutz davor ist kaum möglich. Betroffene können sich aber wehren.

Anzeige

Im Zentrum der Kritik steht eine Paypal-Bezahloption, die sich "Zahlen ohne Paypal-Konto" nennt und auch als "Gast-Konto" oder "Gastzahlung" bekannt ist. Damit können Käufer über das Lastschrift-Verfahren zahlen, ohne dass ein Paypal-Konto angelegt wird. Dafür ist eine IBAN anzugeben. Auf die Frage, ob eine Prüfung stattfindet, ob die IBAN der bestellenden Person tatsächlich gehört, antwortete Paypal eher ausweichend gegenüber der Verbraucherzentrale: "PayPal führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch."

In der Paypal-Community finden sich Diskussionen um den Missbrauch dieser Bezahloption. Die Verbraucherzentrale NRW hat Paypal darauf basierend befragt, warum das Unternehmen keine potenziellen Schutzmaßnahmen umsetzt. So könnten Verbraucher etwa ihre IBAN für Gastzahlungen sperren lassen oder Paypal bei Gastzahlungen einen Cent-Betrag mit einem Code im Verwendungszweck an die angegebene IBAN überweisen, den Käufer zur Verifikation angeben müssen. Eine Antwort gab es dazu jedoch nicht.

Nicht nur Paypal sei von dieser Betrugsmasche betroffen. Auch eine Discounter-App ermöglichte im Jahr 2021 durch Eingabe einer beliebigen IBAN die Zahlung, aktuell lassen zudem einige Verkehrsverbünde das Abonnement des Deutschlandtickets offenbar über beliebige IBANs zu. Die Datenherkunft der IBANs lässt sich nicht feststellen, aber es ist wahrscheinlich, dass sie etwa aus früheren Datenlecks bei Unternehmen, durch Einbrüche in Unternehmens-IT, aus Datensammlungen im Darknet oder dem Sammeln von Daten mit unseriösen Gewinnspielen stammen.

Als ITler wissen Sie recht gut, was für einen sicheren Betrieb des Unternehmens nötig wäre. Aber jetzt gilt es, die Geschäftsführung davon zu überzeugen. Dieses heise security Webinar liefert Ihnen die notwendigen Fertigkeiten, Ihrem Chef Themen aus der Informationssicherheit richtig "zu verkaufen". Wer dieses Jahr noch bucht, profitiert vom reduzierten Frühbucherpreis.

Anzeige

Die Kommunikation zwischen Sicherheitsspezialisten und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen fehlendes Geschick bei der Gesprächsführung und manchmal auch ungeschickt vorgebrachte Argumente.

Unsere sowohl in der Security als auch der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.

Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise security Webinare noch um eine der verbreiteten Management-Schulungen. Die Referenten Christoph Wegener und Wilhelm Dolle haben zwar einen ausgeprägt technischen Background, aber auch reichlich Erfahrung in der Kommunikation mit Firmen-Chefs und Management. So können sie die Brücke schlagen und IT-Spezialisten die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen vermitteln.

Um unter anderem an Zugangsdaten für Onlinedienste zu gelangen, setzt die Gruppierung MUT-1224 auf eine perfide Methode: Sie schieben neben Sicherheitsforschern auch anderen Cyberkriminellen mit Malware verseuchte Fake-Security-Tools unter, die Log-in-Daten einsammeln und an sie verschicken.

Anzeige

Einem Bericht von Sicherheitsforschern von Datadog zufolge gelang das jüngst in einem Fall mit 390.000 Zugangsdaten von WordPress-Accounts. Um an die Daten zu kommen, stellten sie auf Github das mit Schadcode versehene Tool "yawpp" zum Überprüfen von Zugangsdaten zum Download. Dieses Werkzeug haben offensichtlich unzählige Cyberkriminelle und Sicherheitsforscher genutzt, sodass es hunderttausende Log-in-Daten an MUT-1224 schicken konnte.

Solche Attacken sollen die Kriminellen noch mit weiteren Tools und mit Hintertüren versehenem Proof-of-Concept-Code ausführen. Die Sicherheitsforscher gehen davon aus, dass zum jetzigen Zeitpunkt die Systeme von hunderten Opfern kompromittiert sind.

Mit Quick Share, ehemals als Nearby Share bekannt, hat Google eine Alternative zu Apples Airdrop im Programm. Um Daten sicherer mit anderen zu teilen, haben die Entwickler nun das Teilen mittels QR-Code eingeführt. Google verteilt die neue Funktion jetzt etappenweise an Endanwender.

Anzeige

Auf Wunsch kann Quick Share einen QR-Code erzeugen, den Empfänger lediglich einscannen müssen, um die geteilten Inhalte herunterzuladen.

(Bild: Screenshot / dmk)

In der Ankündigung des Android-Dezember-Updates hat Google die neue Funktion in Quick Share erläutert. Wer Bilder, Videos oder Dokumente mit anderen teilen will, kann diese einfach auswählen, das Teilen-Symbol antippen und schließlich die Schaltfläche "QR-Code" nutzen. Empfänger brauchen den QR-Code nur zu scannen, um Zugriff auf die Auswahl zu erlangen.

Microsoft hat eine neue Windows-Insider-Vorschau im Developer-Kanal herausgegeben, die Drittherstellern die Verwaltung von Passkeys im System ermöglichen soll. Außerdem erhält die Kamera-Verwaltung im System neue Einstellungen.

Anzeige

In der Versionsankündigung erklärt Microsoft die Neuerungen etwas konkreter. Demnach stellt Microsoft für Entwickler eine API für Drittanbieter-Passkey-Provider bereit. Dazu habe das Unternehmen mit Passkey-Manager-Partnern zusammengearbeitet – welche das sind, sagt Microsoft jedoch nicht.

Dazu aktualisieren Microsofts Entwickler die WebAuthn-APIs, sodass diese ein Plug-in-Authentifikations-Modell unterstützen. Neben der nativen Windows-Passkey-Verwaltung können Nutzerinnen und Nutzer "in den kommenden Monaten" einen Drittanbieter-Passkey-Provider auswählen und dabei die "Windows Hello Nutzererfahrung erhalten".

Die Nachrichten im WebAuthn-Flow werden an das Plug-in weitergereicht und die Antwort anschließend zurück an die WebAuthn-Client-App. Dadurch können Plug-ins auf Anfrage Passkeys erstellen und damit authentifizieren. Die "reibungslose Passkey-Nutzererfahrung" durch den Nutzer-Verifikationsmechanismus Windows Hello bleibe erhalten. Es solle weitere Aktualisierungen zu dieser Nutzererfahrung bezüglich der Passkey-Flows und Einstellungen zu den neuen Fähigkeiten geben. Programmierer finden detailliertere API-Informationen im zugehörigen Github-Projekt. Beim Bitwarden-Projekt wurde die API-Ankündigung bereits positiv aufgenommen. Es ist jedoch derzeit unklar, wann der Test eines Passkey-Managers startet, der die neue API-Erweiterung nutzt.

Der Anbieter dynamischer Stromtarife und dazu passender Gadgets Tibber hatte im November einen Datendiebstahl gegenüber heise security bestätigt. Jetzt hat das Have-I-Been-Pwned-Projekt die Datensätze zu den 50.002 kompromittierten Konten aufgenommen.

Anzeige

Laut des zugehörigen Eintrags vom Have-I-Been-Pwned-Betreiber Troy Hunt hat er den Datensatz direkt von "einer Quelle, die gefordert hat, als Threat Actor 888 bezeichnet zu werden", erhalten. Dieser Name tauchte bereits im November im Darknet-Angebot auf, wo die Daten zum Verkauf standen. Die Daten umfassen demzufolge Namen, E-Mail-Adressen, geografische Lokalisation in Form von Stadt und Postleitzahl sowie die Summe an Ausgaben. Der Einbruch in die Tibber-IT fand demnach am 10. November statt.

Damit bestätigt Hunt den Umfang der Daten: Tibber gab im November gegenüber heise security an, dass anders als im Darknet-Angebot angegeben nicht 243.000 Datensätze erbeutet wurden, sondern 50.000 – noch immer eine beträchtliche Anzahl. Es finden sich aber offenbar tatsächlich keine weiteren Informationen wie Passwörter, Zahlungs- oder Verbrauchsdaten. Beim Have-I-Been-Pwned-Projekt können Interessierte jetzt prüfen, ob ihre E-Mail-Adresse ebenfalls in dem Datenleck enthalten war. Kriminelle können diese Informationen etwa für authentischeres Phishing oder ähnliche Betrugsversuche nutzen.

Mitte November hat Tibber den Vorfall noch untersucht und zuständige Behörden eingeschaltet. Eine Anfrage von heise online zu Untersuchungsergebnissen konnte Tibber nicht unmittelbar beantworten. Wir reichen etwaige Informationen dazu von Tibber an dieser Stelle nach.

Der neue State of Open Source Security Report 2024 liegt vor und wirft einen besorgten Blick auf die aktuellen Trends im Bereich Software- und Supply-Chain-Security von Open-Source-Projekten.

Anzeige

Drei wesentliche Punkte identifiziert Herausgeber Snyk, Anbieter der gleichnamigen Developer-Security-Plattform, in seinem Dokument. Demnach geraten Teams durch steigende Sicherheitsanforderungen zunehmend unter Druck, was dazu führt, dass Sicherheitsmaßnahmen seltener umgesetzt werden. 52 Prozent der Teams schaffen es regelmäßig nicht, ihre SLA-Ziele (Service Level Agreement) zu erfüllen. Eine Kombination aus stagnierenden Sicherheitsmaßnahmen, fehlenden Ressourcen und wachsenden Anforderungen führt ferner zu einer Ermüdung in Sachen Anwendungssicherheit. Hier fehlt es nach Einschätzung von Snyk an nachhaltigeren Sicherheitspraktiken, um diesen Herausforderungen zu begegnen.

Unrealistische Ziele erschweren es vielen Teams, ihre SLAs einzuhalten.

(Bild: The State of Open Source Security Report 2024, snyk.com)