Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Kritische Sicherheitslücken in Secret-Management-Tresoren entdeckt

2025-08-07
Kritische Sicherheitslücken in Secret-Management-Tresoren entdeckt

Forscher haben subtile Logikfehler in HashiCorp Vault und CyberArk Conjur entdeckt, die es Angreifern ermöglichen, die Authentifizierung zu umgehen, Richtlinienprüfungen zu umgehen und Konten zu imitieren. Diese Tresore, die Anmeldeinformationen speichern, die den Zugriff auf Systeme und Daten steuern, bilden das Rückgrat der digitalen Infrastruktur. Ein Kompromiss bedeutet den vollständigen Verlust der Infrastruktur. Die verantwortungsvoll gemeldeten und jetzt gepatchten Schwachstellen unterstreichen die kritische Notwendigkeit eines robusten Secret-Managements und der Zugriffskontrolle.

Mehr lesen
(www.csoonline.com)
Technologie

Xbow meldet fast 1000 Schwachstellen, darunter eine Zero-Day-Lücke in Palo Alto Networks VPN

2025-07-06
Xbow meldet fast 1000 Schwachstellen, darunter eine Zero-Day-Lücke in Palo Alto Networks VPN

Das Sicherheitsforschungsunternehmen Xbow hat in den letzten 90 Tagen fast 1060 Schwachstellen an HackerOne gemeldet, darunter kritische Fehler wie Remote Code Execution und Informationslecks. Sie haben auch eine bisher unbekannte Schwachstelle in Palo Alto Networks' GlobalProtect VPN entdeckt und gemeldet, die über 2000 Hosts betrifft. Obwohl viele behoben wurden (130 behoben, 303 triagiert), bleiben etwa 45 % ungepatcht, was das enorme Volumen und die Auswirkungen der gemeldeten Schwachstellen hervorhebt.

Mehr lesen
(www.csoonline.com)
Technologie

Microsoft ernennt neuen stellvertretenden CISO für Europa, um strengere Cybersicherheitsvorschriften zu bewältigen

2025-05-03
Microsoft ernennt neuen stellvertretenden CISO für Europa, um strengere Cybersicherheitsvorschriften zu bewältigen

Microsoft hat einen neuen stellvertretenden Chief Information Security Officer (CISO) für Europa ernannt, der für die Einhaltung der immer strengeren Cybersicherheitsvorschriften der EU verantwortlich ist, wie z. B. das Gesetz über die digitale operative Widerstandsfähigkeit (DORA), die NIS2-Richtlinie und das Gesetz über die Cyber-Resilienz (CRA). Diese Rolle ist entscheidend für die Compliance von Microsoft in Europa und seine globale Cybersicherheitsstrategie und unterstreicht den Fokus des Unternehmens auf europäische Datensicherheit und Cyber-Resilienz. Obwohl Microsoft keine weiteren Details bekannt gegeben hat, zeigt dieser Schritt, dass das Unternehmen proaktiv auf die sich verändernde globale Cybersicherheitslandschaft reagiert.

Mehr lesen
(www.csoonline.com)
Technologie

Sicherheitsrisiken von Google Analytics: Ein Problem für den CISO

2025-04-26
Sicherheitsrisiken von Google Analytics: Ein Problem für den CISO

CISOs müssen die Risiken sorgfältig bewerten, die mit der Datenfreigabe an Dritte verbunden sind, insbesondere bei der Verwendung von Google Analytics. Der Artikel hebt hervor, dass Google Analytics unbeabsichtigt sensible Daten sammeln kann, wie z. B. personenbezogene Daten (PII), die in URLs eingebettet sind (Namen, E-Mails, Geburtsdaten usw.) oder Werte von Formularfeldern. Um dies zu verhindern, müssen CISOs sicherstellen, dass bei der Konfiguration von Google Analytics alle Abfrageparameter, Formulareingaben und dynamischen Seitenelemente, die sensible Daten enthalten könnten, herausgefiltert werden. Andernfalls könnten diese Daten von Google Analytics verfolgt und gesammelt werden, was erhebliche Sicherheitsrisiken darstellt.

Mehr lesen
(www.csoonline.com)
Technologie

CVE-Nummerierungssystem am Rande des Zusammenbruchs: DHS beendet Vertrag mit MITRE

2025-04-16
CVE-Nummerierungssystem am Rande des Zusammenbruchs: DHS beendet Vertrag mit MITRE

Das US-Heimatschutzministerium (DHS) hat seinen 25-jährigen Vertrag mit MITRE beendet, wodurch das CVE-Nummerierungssystem für Schwachstellen am Rande des Zusammenbruchs steht. Dies wird zu einem enormen Rückstand in der National Vulnerability Database (NVD) führen, mit über 30.000 Schwachstellen, die auf Bearbeitung warten, und über 80.000 weiteren, die „aufgeschoben“ wurden (d. h., sie werden nicht vollständig analysiert). Diese Maßnahme wird die Schwachstellenverwaltung weltweit erheblich beeinträchtigen und erhebliche Herausforderungen für Organisationen darstellen, die auf CVE/NVD-Informationen angewiesen sind. Nationale Schwachstellendatenbanken, wie die von China und Russland, werden ebenfalls betroffen sein. Der Grund für die Vertragskündigung ist unklar, hängt aber wahrscheinlich mit den Kostensenkungsmaßnahmen der Trump-Administration zusammen.

Mehr lesen
(www.csoonline.com)
Technologie Schwachstellenverwaltung