Funktionsupdate Win10 – April 2018 / Version 1803 – Fehler 0xc1900101

Windows 10 Update 1803 / April 2018 generiert Fehler 0xc1900101. Das Aprilupdate 1803 für WIN10 scheint bei einigen Boards Probleme mit der Virtualisierung zu haben. Das Update schlägt regelmäßig fehl und wird ständig wiederholt. Nach dem Update wird ein Neustart initiiert und der Rechner hängt mit dem Windows-Logo. Schaltet man die Virtualisierung im Bios ab, funktioniert…

Cisco ASA mit CVSS 10.0 in VPN-Funktion

In der CISCO ASA-Software klafft ein mit CVSS 10.0 eingestufte Sicherheitslücke in der VPN-Funktion. 10.0 – das ist die höchstmögliche Bewertung – in diesem Fall sehr schlecht. The vulnerability is due to an attempt to double free a region of memory when the webvpn feature is enabled on the Cisco ASA device. An attacker could…

INTEL, AMD und ARM-Sicherheitslücke / Meltdown und Spectre

Das Rad muss ja nicht neu erfunden werden und es ist schon viel darüber berichtet worden, darum schreibe ich hier nicht alles noch einmal. Mehr über die seit Juni 2017 bekannte Sicherheitslücke direkt vom Google-Zero-Team Blog oder unter defiant.com. (Alles in english…) Raspberry Pi ist übrigens nicht betroffen 😉 Browser sind besonders empfänglich, denn sie…

Thunderbird derzeit unsicher

Durch eine Sicherheitsprüfung des Mailclients Thunderbird (Mozilla) kamen kritische Sicherheitslücken zum Vorschein. Quelle: netzpolitik.org/Arne Cypionka https://netzpolitik.org/2017/sicherheitsaudit-fuer-enigmail-und-thunderbird-posteo-warnt-vor-schwachstellen/

Amazon Alexa Drop In - Aufforderung für Kontakte

Echo Plus mit Minus

Echo Plus ist der seit Oktober 2017 erhältliche Alexa-Mithörer von Amazon mit integriertem ZigBee-Smart-Hub – das „Plus“. Es könnte, je nach Konfiguration oder Hersteller der versammelten Smart-Home-Geräte, eine Erleichterung sein, diese per Echo Plus einzubinden und dadurch entsprechende Hersteller-Hubs zu sparen bzw. zu ersetzen. Könnte. Die unterstützende Alexa-App ist aber gegenüber auf bestimmte Geräte spezialisierte…

Blockchain – im Kommen

…“Eine Technik zwischen Hype und Wirklichkeit“ … „derzeit größten Hype in der Tech- und Finanzwelt“ Inzwischen gibt es immer mehr Banken, die Kryptowährungen (außer Bitcoin u.a. auch Ripple, Monero, Ethereum und Ethereum Classic (ETC), NEM, Zcash, Factom, LiteCoin, Dash/Darkcoin, Dogecoin – online mehr als 700 Währungen) akzeptieren und selbst Daimler gab seinen 100-Millionen-Euro-Schuldschein auch als Blockchain Variante…

IoT: Meine Haustür, mein Fernseher, mein Baby, mein Licht – unsicher.

In Deutschland haben hunderttausende IoT-Geräte Schwachstellen, sind ein Einfallstor für Hacker und sehr einfach mit der speziellen Suchmaschine Shodan.io zu finden. Damit könnten sowohl Haus- oder Garagentüren geöffnet oder auch private Webcams / Babyphones zur Beobachtung durch Fremde (auch Samsung Fernseher mit Kamera, ggf. im Schlafzimmer?) genutzt werden. Interessierten Personenkreisen ist es damit auch möglich,…

Adylkuzz / WannaCry Emergency Patch / Notfall-Patch: KB4012598

Microsoft has released a patch against the EternalBlue exploit that applies also to systems that are usually not more patched, including XP and Server 2003. Microsoft hat ein Patch gegen die EternalBlue Sicherheitslücke (aktuell durch WannaCry und Adylkuzz) genutzt) veröffentlicht. Es gilt auch für Systeme, die normalerweise nicht mehr gepatcht werden, darunter auch XP und…

MongoDB und MySQL: Port offen, Daten sicher?

Bereits 2015 wurde auf Sicherheitslücken bei nachlässigen Installationen mit MongoDB hingewiesen (Heise). Auch 2016 hat sich nicht viel geändert – immer wieder wurden Sicherheitsmängel bzw. mangelhafte Installationen entdeckt und Daten abgegriffen: https://www.heise.de/security/meldung/Offene-MongoDB-Datenbank-Infos-von-93-Millionen-mexikanischen-Waehlern-geleakt-3186929.html https://www.heise.de/newsticker/meldung/Offene-Datenbank-58-Millionen-Datensaetze-im-Umlauf-3351104.html Die MongoDB-Installationen am 07. Januar 2017: Auch bei der beliebten MySQL Datenbank kann es nachlässige Installationen geben. Ist die Datenbank per Standart-Port…

Nagios vulnerability in

Die seit 13.1.2016 bekannte Schwachstelle ist imho bei großen Unternehmen nicht zu unterschätzen, da es sich im Rahmen von Industriespionage durchaus lohnen kann, den dazu notwendigen Aufwand (DNS poisoning, domain hijacking, ARP spoofing) zu betreiben. Ein zwischenzeitlich herausgekommner Fix löst das Problem noch nicht vollständig. Quelle: https://legalhackers.com/advisories/Nagios-Exploit-Command-Injection-CVE-2016-9565-2008-4796.html