Art der Meldung: Sicherheitshinweis
Risikostufe 3
Google Chrome: Mehrere Schwachstellen

11.10.2019____________________________________________________________________________________________________
Betroffene Systeme:
Google Chrome < 77.0.3865.120 ____________________________________________________________________________________________________ Empfehlung: Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen. ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ Beschreibung: Chrome ist ein Internet-Browser von Google. ____________________________________________________________________________________________________ Zusammenfassung: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden. Zur Ausnutzung genügt es, eine bösartige Webseite oder einen Link dorthin zu öffnen. ____________________________________________________________________________________________________ Quellen: - https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop.html ____________________________________________________________________________________________________ Über den folgenden Link können Sie den Newsletter wieder abbestellen. https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html Besuchen Sie uns auch auf: https://www.bsi-fuer-buerger.de https://www.facebook.com/bsi.fuer.buerger https://www.twitter.com/BSI_Presse Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

SICHER • INFORMIERT vom 18.10.2019
Ausgabe: 22/2019

Liebe Leser*Innen,

wie steht es um die IT-Sicherheit in Deutschland und wie gefährdet sind IT-Infrastrukturen, Geräte und Daten hierzulande? Mit diesen und weiteren Fragen setzt sich der neue “Bericht zur Lage der IT-Sicherheit in Deutschland 2019” auseinander, den Bundesinnenminister Horst Seehofer zusammen mit BSI-Präsident Arne Schönbohm in Berlin vorgestellt hat. Die wichtigste Quintessenz: Auch in einer weiterhin angespannten IT-Sicherheitslage ist die Abwehr von Cyber-Angriffen in Deutschland erfolgreich. Und das, obwohl die Zahl der Attacken ebenso zunimmt wie die Qualität der Angriffe, die oft nur schwer zu erkennen und noch schwerer zu bekämpfen sind.

Umso wichtiger ist es, neben den umfangreichen Schutzmaßnahmen und Handlungsempfehlungen immer auch an die BürgerInnen zu appellieren, dass alle eine Eigenverantwortung beim Schutz der persönlichen IT-Geräte sowie ihrer Daten tragen.

In diesem Newsletter haben wir deshalb wieder Hinweise zu aktuellen Fällen und Möglichkeiten für Sie aufgelistet, sich vor Cyber-Angriffen wirkungsvoll zu schützen.

Wir wünschen Ihnen viel Spaß beim Lesen!

Jan Lammertz / Team BSI-für-Bürger
Inhalt

In den Schlagzeilen—————–
1. Kindersicher: Mehr Datenschutz und Privatsphäre für die Jüngsten 2. Wenn der Fernseher Ihnen beim Fernsehen zuschaut 3. Gesundheits-App Ada: Vertrauliche Daten bei Facebook?
4. Smart-Meter-Gateways: Auf diesen Strom können Sie zählen 5. Keine Faxen mit Buran

Bleiben Sie up-to-date—————–
6. Schließen Sie Sicherheitslücken in macOS und iTunes 7. iOS schachmatt 8. Unity-Router von Sicherheitslücke betroffen 9. Auch WhatsApp mit Lücke 10. Schwachstellen bei Android 11. Patchday bei SAP, Microsoft und Google 12. Schwachstellen bei Adobe Acrobat identifiziert

Gut zu wissen—————–
13. Technik für alle?
14. Hack, Hack – Daten weg!

Zahl der Woche—————–
15. BSI-Bericht zur Lage der IT-Sicherheit in Deutschland

—————————————————-
In den Schlagzeilen

1. Kindersicher: Mehr Datenschutz und Privatsphäre für die Jüngsten

Die internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation hat zwei neue Arbeitspapiere veröffentlicht, die vor allem für Eltern spannend sind: Sie untersuchen die Privatsphäre von Kindern bei der Nutzung von Online-Diensten sowie Datenschutzrisiken durch smarte Geräte für Kinder. Das Arbeitspapier gibt außerdem Empfehlungen zur Bewältigung dieser Probleme für Hersteller, NutzerInnen, Schulen und Behörden.

Weitere Informationen zum Basisschutz für Kinder im Internet finden Sie auch bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/Kinderschutz/kinderschutz_node.html

Die Informationen können Sie ebenfalls im Podcast mit BSI-Expertin Katja Vogel hören: https://www.bsi-fuer-buerger.de/SharedDocs/Audio/DE/BSIfB/Podcast_Basisschutz-Kinder1.html

Über die Arbeitspapiere schreibt unter anderem Netzpolitik: https://netzpolitik.org/2019/datenschutz-neue-empfehlungen-fuer-die-privatsphaere-von-kindern/

2. Wenn der Fernseher Ihnen beim Fernsehen zuschaut

Forscher der Universität Princeton (USA) haben die Streaming-Boxen von Amazon und Roku untersucht. Dabei stellten sie fest, dass 89 Prozent der Streaming- und TV-Kanäle von Amazon Fire TV und 69 Prozent von Roku mit bekannten Trackern kommuniziert haben. Diese Tracker senden teils sehr persönliche Daten über die Nutzerinnen vor allem an Domains von Google und Facebook, um daraus Kundenprofile für Werbezwecke zu erstellen.

Informationen des BSI für Bürger zur sicheren Nutzung von Smart-TVs finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/SmartTV/SmartTV_node.html

Zur Meldung von Heise Online über die Smart-TV-Studie der Universität Princeton: https://www.heise.de/newsticker/meldung/Smart-TV-Studie-Amazon-Fire-TV-und-Roku-sind-Datenschleudern-4554240.html

3. Gesundheits-App Ada: Vertrauliche Daten bei Facebook?

Die Gesundheits-App der Berliner Ada Health GmbH übermittelt persönliche Daten unter anderem an Facebook und an Amplitude Analytics – schon bevor Nutzer*Innen der Datenschutzerklärung und den AGB zugestimmt haben. Nach der Anmeldung wurden sogar medizinische Daten der Nutzer an Trackingdienste weitergeleitet, heißt es bei c’t über eine Untersuchung des IT-Sicherheitsforschers Mike Kuketz. Der Anbieter Ada Health dementiert diese Weiterleitung allerdings. Dennoch wurde die App aus dem Google Play Store entfernt und durch eine andere Version ersetzt.

Viele Gesundheitsdaten werden auch über so genannte Wearables – tragbare Geräte wie zum Beispiel Fitness-Armbänder – gesammelt. Wie Sie diese sicher verwenden können, erfahren Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/Wearables/Wearables_node.html

Zur Ada-Meldung von c’t: https://www.heise.de/ct/artikel/Massive-Datenschutzmaengel-in-der-Gesundheits-App-Ada-4549354.html

4. Smart-Meter-Gateways: Auf diesen Strom können Sie zählen

Das BSI hat einen zweiten Smart-Meter-Gateway zertifiziert. Kommt ein drittes von einem weiteren unabhängigen Hersteller dazu, greift die gesetzliche Verpflichtung zum Einbau von Smart-Meter-Gateways, die auf das 2016 verabschiedete “Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (MsbG)” zurückgeht. Smart-Meter-Gateways werden in intelligenten Messsystemen eingesetzt und ermöglichen die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung sowie auch Löschung von Messwerten der Stromzähler. Sie sorgen für mehr Transparenz sowie die sicherere Übermittlung von Messdaten und verbessern das Last- und Erzeugungsmanagement im Verteilnetz.

Das BSI hat wichtige Hintergrundinformationen zu Smart Metering Systems für Sie zusammengestellt: https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/SmartMeter/smartmeter_node.html

Zur Meldung des pv magazins über das Smart-Meter-Zertifikat des BSI: https://www.pv-magazine.de/2019/10/01/bsi-erwartet-beginn-des-verpflichtenden-smart-meter-rollouts-noch-in-diesem-jahr/

5. Keine Faxen mit Buran

Das BSI warnt aktuell eindringlich vor einer Flut gefälschter E-Mails, die ein vermeintliches Fax enthalten. Tatsächlich steckt dahinter eine Spam-Kampagne zur Verbreitung der Ransomware Buran. Die Schadsoftware verschlüsselt Dateien auf infizierten Rechnern und verlangt dann ein Lösegeld (Englisch: “ransom”). Die E-Mails mit den verseuchten Anhängen kommen vom Absender und tarnen sich als Nachricht des eigentlich seriösen Dienstleisters eFax. Das BSI rät, den in der E-Mail enthaltenen Link auf keinen Fall anzuklicken. Wenn bereits eines Ihrer Geräte infiziert ist, nehmen Sie bitte Kontakt mit dem Team von BSI für Bürger auf, um sich beraten zu lassen – entweder telefonisch unter 0800 2741000 oder per Mail an .

Das Service-Center des BSI für Bürger erreichen Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Kontakt/kontakt_node.html

Zur Meldung der Süddeutschen Zeitung: https://www.sueddeutsche.de/digital/bsi-buran-trojaner-ransomware-phishing-kammergericht-berlin-1.4625156

—————————————————-
Bleiben Sie up-to-date

6. Schließen Sie Sicherheitslücken in macOS und iTunes

Im Betriebssystem macOS sowie der Multimedia-Anwendung iTunes existieren derzeit mehrere Schwachstellen. Das BSI rät, die Sicherheits-Updates des Herstellers zeitnah zu installieren.

Lesen Sie die vollständigen Meldungen hier:
https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/10/warnmeldung_tw-t19-0141.html;jsessionid=28FFF3F4FAB04E78F755ECE67D3BD73F.2_cid369?nn=9266440

https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/10/warnmeldung_tw-t19-0142.html;jsessionid=28FFF3F4FAB04E78F755ECE67D3BD73F.2_cid369?nn=9266440

7. iOS schachmatt

Alle iPhones, iPads, iPods und Apple TV-Geräte, die zwischen 2011 und 2017 auf den Markt kamen, besitzen eine kritische Sicherheitslücke namens Checkm8 (Deutsch: “schachmatt”). Schließen lässt sich diese offenbar nicht, allerdings benötigen die Angreifer physischen Zugriff auf die Geräte, um sie ausnutzen zu können. Ist Ihr Gerät betroffen, können Sie es ganz einfach durch einen Neustart bereinigen. Zum Schutz vor Checkm8 sollten Sie Ihr mobiles Gerät nicht unbeaufsichtigt lassen und einen sechsstelligen PIN-Code zur Sperrung einrichten.

Weitere Informationen zum Schutz Ihres Smartphones: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/EinrichtungMobileGeraete/EinrichtungMobileGeraete_node.html

Zur Meldung von der Süddeutschen Zeitung zu Checkm8: https://www.sueddeutsche.de/digital/apple-iphone-it-sicherheit-checkm8-1.4622223

8. Unity-Router von Sicherheitslücke betroffen

Heise berichtet über eine fatale Sicherheitslücke in Millionen Routern von Unitymedia. Derzeit spielt der Provider ein Firmware-Update aus, das die Lücke schließt, heißt es in dem Artikel. Die Installation des Firmware-Update erfolgt automatisch.

Erfahren Sie mehr über das Thema Router-Sicherheit: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_den_router.html

Zur Meldung von Heise Online: https://www.heise.de/security/meldung/Unitymedia-Fatale-Sicherheitsluecke-in-Millionen-Routern-4544886.html

9. Auch WhatsApp mit Lücke

Die Computer Bild berichtet über eine schwere Sicherheitslücke des Instant Messengers WhatsApp. Über die Lücke könnten Hacker auf Android-Smartphones zugreifen und an persönliche Daten gelangen. WhatsApp hat bereits ein Update veröffentlicht, das die Lücke beseitigt.

Hinweise zur Nutzung und Auswahl von Instant Messengern: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/KommunikationUeberInternet/Messenger/Tipps/tipps_node.html

Zur Meldung von Computer Bild: https://www.computerbild.de/artikel/cb-News-App-Check-WhatsApp-Schwere-Sicherheitsluecke-das-muessen-Nutzer-jetzt-beachten-24252569.html

10. Schwachstellen bei Android

Google selbst weist auf Sicherheitslücken in seinem Betriebssystem Android hin, die mehrere Smartphone-Modelle verschiedener Hersteller betreffen. Ein lokaler Angreifer könnte die Lücke missbrauchen, um seine Rechte zu erweitern und letztlich die vollständige Kontrolle über das Gerät zu erlangen. Updates zum Schließen dieser Lücken sind bereits erschienen.

Zur Meldung von Heise Online: https://www.heise.de/security/meldung/Android-Google-warnt-vor-gefaehrlicher-Luecke-in-mehreren-Smartphone-Modellen-4545822.html

11. Patchday bei SAP, Microsoft und Google

Anfang Oktober haben auch SAP, Microsoft und Google wichtige Updates veröffentlicht, die zum Teil kritische Sicherheitslücken schließen.

Zur Meldung von Heise Online: https://www.heise.de/security/meldung/Patchday-Microsoft-sichert-Windows-und-Browser-gegen-Angriffe-ab-4549555.html

12. Schwachstellen bei Adobe Acrobat identifiziert

Ein entfernter, anonymer Angreifer kann mehrere Sicherheitslücken in Adobe Acrobat, Adobe Acrobat Reader DC und Adobe Acrobat Reader ausnutzen. Das BSI rät dazu, die vom Hersteller bereitgestellten Sicherheitsupdates zeitnah zu installieren.
Lesen die gesamte Meldung bei BSI für Bürger: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/10/warnmeldung_tw-t19-0147.html?nn=9266440

—————————————————-
Gut zu wissen

13. Technik für alle?

Digitale Technologien spielen für viele Menschen eine immer wichtigere Rolle, stellt eine Studie zur digitalen Teilhabe der Initiative “Digital für alle” fest. Allerdings sehen das nicht alle positiv: Jeder Vierte äußerte beispielsweise Sorge um Datensicherheit. Auch der Umgang mit technischen Geräten fällt nicht allen leicht: Fast vier von zehn Befragten gaben an, dass es ihnen schwerfällt, die Bedienung eines technischen Gerätes zu lernen.

BSI für Bürger gibt nützliche Tipps für den sicheren Umgang mit modernen Technologien und erleichtert so die Teilhabe am technischen Fortschritt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/empfehlungen_node.html

Die “Digitaltag 2020: Studie zur digitalen Teilhabe” finden Sie hier: https://digitaltag.eu/sites/default/files/2019-09/Pr%C3%A4sentation%20Digital%20f%C3%BCr%20alle%20und%20Digitaltag%202020%2025%2009%202019_final.pdf

14. Hack, Hack – Daten weg!

In der Ausgabe “Hack, Hack – Daten weg” des Cosmo-Tech Podcasts berichtet Jörg Schieb für den WDR über die Arbeit und Denkweise von Hackern. Unter anderem kommt auch Klaus Rodewig zu Wort, der Mitglied im Expertenkreis Cyber-Sicherheit des BSI ist.

Zum Nachhören: https://blog.wdr.de/digitalistan/hack-hack-daten-weg-2/
(Der Podcast steht bis zum 30.09.2020 zur Verfügung)

—————————————————-
Zahl der Woche

15. BSI-Bericht zur Lage der IT-Sicherheit in Deutschland

114 Millionen neue Schadprogramm-Varianten hat das BSI zwischen Juni 2018 und Mai 2019 registriert. Dazu kommen mehr als 110.000 Bot-Infektionen täglich – meist auf mobilen Endgeräten oder vernetzten Geräten aus dem Bereich des Internets der Dinge (IoT). Das sind nur zwei Schlaglichter aus dem “Bericht zur Lage der IT-Sicherheit in Deutschland 2019”, den das BSI am 17. Oktober 2019 veröffentlicht hat. Der Bericht gibt einen Überblick über die Entwicklung der Bedrohungslage im Cyber-Raum und über die Aktivitäten und Maßnahmen des BSI.

Der Bericht steht auf der BSI-Webseite zum kostenlosen Download zur Verfügung und kann auch als Printexemplar bestellt werden https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

BSI-Präsident Arne Schönbohm stellte den Bericht auf einer Pressekonferenz am 17. Oktober 2019 vor. Zur Pressemitteilung: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Lagebericht_171019.html

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Sicherheitshinweis
Risikostufe 4
D-LINK Router: Mehrere Schwachstellen

15.10.2019____________________________________________________________________________________________________
Betroffene Systeme:
D-LINK Router DIR-412
D-LINK Router DIR-868L
D-LINK Router DIR-880L
D-LINK Router DIR-885L
D-LINK Router DIR-890L
D-LINK Router DIR-895L
____________________________________________________________________________________________________
Empfehlung:
Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Router der Firma D-LINK enthalten eine Firewall und in der Regel eine WLAN-Schnittstelle. Die Geräte sind hauptsächlich für private Anwender und Kleinunternehmen konzipiert.
____________________________________________________________________________________________________
Zusammenfassung:
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in verschiedenen D-LINK Routern ausnutzen, um die Kontrolle über das Gerät zu übernehmen, Informationen auszuspähen, bestimmte Dateien zu manipulieren oder das Gerät zum Absturz zu bringen.
____________________________________________________________________________________________________
Quellen:
– https://github.com/badnack/d_link_880_bug/blob/master/README.md
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Sicherheitshinweis
Risikostufe 3
Adobe Acrobat: Mehrere Schwachstellen ermöglichen Codeausführung

16.10.2019____________________________________________________________________________________________________
Betroffene Systeme:
Adobe Acrobat <= 2015.006.30503 Adobe Acrobat <= 2017.011.30148 Adobe Acrobat <= 2019.012.20040 Adobe Acrobat Reader <= 2015.006.30503 Adobe Acrobat Reader <= 2017.011.30148 Adobe Acrobat Reader DC <= 2019.012.20040 ____________________________________________________________________________________________________ Empfehlung: Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen. ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ Beschreibung: Adobe Acrobat ist ein Programm für die Erstellung und Betrachtung von Dokumenten im Adobe Portable Document Format (PDF). Acrobat Reader ist ein Programm für die Anzeige von Dokumenten im Adobe Portable Document Format (PDF). Adobe Reader ist ein Programm für die Anzeige von Dokumenten im Adobe Portable Document Format (PDF). ____________________________________________________________________________________________________ Zusammenfassung: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Adobe Acrobat, Adobe Acrobat Reader DC und Adobe Acrobat Reader ausnutzen, um beliebigen Programmcode auszuführen oder vertrauliche Informationen einzusehen. ____________________________________________________________________________________________________ Quellen: - https://helpx.adobe.com/security/products/acrobat/apsb19-49.html ____________________________________________________________________________________________________ Über den folgenden Link können Sie den Newsletter wieder abbestellen. https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html Besuchen Sie uns auch auf: https://www.bsi-fuer-buerger.de https://www.facebook.com/bsi.fuer.buerger https://www.twitter.com/BSI_Presse Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Sicherheitshinweis
Risikostufe 4
Oracle Java SE: Mehrere Schwachstellen

16.10.2019____________________________________________________________________________________________________
Betroffene Systeme:
Oracle Java SE 11.0.4
Oracle Java SE 13
Oracle Java SE 7u231
Oracle Java SE 8u221
____________________________________________________________________________________________________
Empfehlung:
Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Die Java Platform, Standard Edition (SE) ist eine Sammlung von Java-APIs (JDK) und der Java Laufzeit Umgebung (JRE).
Java Standard Edition (SE) Embedded ist die Laufzeitumgebung für die Java-Plattform des US-Unternehmens Oracle Corporation für Embedded Systems.
____________________________________________________________________________________________________
Zusammenfassung:
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Oracle Java SE und Oracle Java SE Embedded ausnutzen, um dadurch die Integrität, Vertraulichkeit und Verfügbarkeit zu gefährden.
____________________________________________________________________________________________________
Quellen:
– https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html#AppendixJAVA
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Sicherheitshinweis
Risikostufe 4
HP Desktop Firmware: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit Administratorrechten

15.10.2019____________________________________________________________________________________________________
Betroffene Systeme:
HP Desktop Firmware
____________________________________________________________________________________________________
Empfehlung:
Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
HP Touchpoint Analytics ist eine vorinstallierte Software auf HP-Rechnern, welche dazu dient Diagnose-Informationen über die Hardware einzusammeln und zu HP zu senden.
____________________________________________________________________________________________________
Zusammenfassung:
Es existiert eine Schwachstelle in HP Touchpoint Analytics, einer vorinstallierten Software auf HP Rechnern.
Ein lokaler Angreifer kann die Schwachstelle ausnutzen, um beliebigen Programmcode mit Administratorrechten auszuführen.
____________________________________________________________________________________________________
Quellen:
– https://support.hp.com/us-en/document/c06463166
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Sicherheitshinweis
Risikostufe 3
WordPress: Mehrere Schwachstellen

15.10.2019____________________________________________________________________________________________________
Betroffene Systeme:
Open Source WordPress < 5.2.4 ____________________________________________________________________________________________________ Empfehlung: Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen. ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ Beschreibung: WordPress ist ein PHP basiertes Open Source Blog-System. ____________________________________________________________________________________________________ Zusammenfassung: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in WordPress ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen, Informationen offenzulegen oder Sicherheitsvorkehrungen zu umgehen. ____________________________________________________________________________________________________ Quellen: - https://wordpress.org/news/2019/10/wordpress-5-2-4-security-release/ ____________________________________________________________________________________________________ Über den folgenden Link können Sie den Newsletter wieder abbestellen. https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html Besuchen Sie uns auch auf: https://www.bsi-fuer-buerger.de https://www.facebook.com/bsi.fuer.buerger https://www.twitter.com/BSI_Presse Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Sicherheitshinweis
Risikostufe 4
Google Android: Mehrere Schwachstellen

08.10.2019____________________________________________________________________________________________________
Betroffene Systeme:
Google Android 10
Google Android 7.1.1
Google Android 7.1.2
Google Android 8.0
Google Android 8.1
Google Android 9
____________________________________________________________________________________________________
Empfehlung:
Das BürgerCERT empfiehlt die zeitnahe Installation der von den jeweiligen Geräteherstellern bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Das Android Betriebssystem von Google ist eine quelloffene Plattform für mobile Geräte. Die Basis bildet der Linux-Kernel.
____________________________________________________________________________________________________
Zusammenfassung:
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Android ausnutzen. Als Folge kann der Angreifer die Kontrolle über das Gerät übernehmen, Daten ausspionieren, das Gerät zum Absturz bringen oder unbrauchbar machen. Zur erfolgreichen Ausnutzung der Schwachstellen genügt es, eine manipulierte App zu öffnen oder einen Link anzutippen, der zu einer bösartigen Software führt.
____________________________________________________________________________________________________
Quellen:
– https://source.android.com/security/bulletin/2019-10-01
– https://source.android.com/security/bulletin/pixel/2019-10-01
– https://security.samsungmobile.com/securityUpdate.smsb
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Sicherheitshinweis
Risikostufe 3
Apple iTunes: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode mit Benutzerrechten

08.10.2019____________________________________________________________________________________________________
Betroffene Systeme:
Apple iTunes < 12.10.1 ____________________________________________________________________________________________________ Empfehlung: Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen. ____________________________________________________________________________________________________ ____________________________________________________________________________________________________ Beschreibung: iTunes ist ein Multimedia-Verwaltungsprogramm von Apple zum Abspielen, Konvertieren, Organisieren und Kaufen von Musik, Filmen und Spielen. ____________________________________________________________________________________________________ Zusammenfassung: In Apple iTunes existieren mehrere Schwachstellen. Ein Angreifer kann diese ausnutzen, um schädlichen Code auszuführen und den Benutzer zu täuschen. Zur erfolgreichen Ausnutzung genügt es, eine speziell präparierte Datei oder einen Link zu einer bösartigen Webseite zu öffnen bzw. anzuklicken. ____________________________________________________________________________________________________ Quellen: - https://support.apple.com/de-de/HT210635 ____________________________________________________________________________________________________ Über den folgenden Link können Sie den Newsletter wieder abbestellen. https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html Besuchen Sie uns auch auf: https://www.bsi-fuer-buerger.de https://www.facebook.com/bsi.fuer.buerger https://www.twitter.com/BSI_Presse Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Sicherheitshinweis
Risikostufe 4
Apple macOS: Mehrere Schwachstellen

08.10.2019____________________________________________________________________________________________________
Betroffene Systeme:
Apple macOS 10.15
____________________________________________________________________________________________________
Empfehlung:
Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Apple macOS ist ein Betriebssystem, das auf FreeBSD und Mach basiert.
____________________________________________________________________________________________________
Zusammenfassung:
In Apple macOS 10.15 Catalina existieren mehrere Schwachstellen die von Angreifern ausgenutzt werden können. Dadurch kann ein Angreifer Informationen einsehen oder die Kontrolle über das System übernehmen. Bei einigen dieser Schwachstellen genügt es, dass der Benutzer eine bösartige Datei oder Webseite bzw. einen Link dorthin öffnet.
____________________________________________________________________________________________________
Quellen:
– https://support.apple.com/de-de/HT210634
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn