​​​​​Unsichtbare npm-Malware umgeht Sicherheitsprüfungen mit manipulierten Versionen
#Malware #Manipulation #Security #Sicherheitslücken #npm #paketmanager

JFrog hat ein unerwartetes Verhalten der npm-Werkzeuge entdeckt: Für Pakete bestimmter Versionsformate zeigen sie wohl keine sicherheitsrelevanten Hinweise an․

​​​​​Microsoft half Apple, macOS' Gatekeeper zu verbessern
#Achilles #Apple #AppleDouble #Bug #CVE202242821 #Gatekeeper #GatekeeperinMacOSX #LockdownMode #Malware #Microsoft #Proofofconcept #Security #Sicherheitslücken #macOS

Gatekeeper markiert über den Browser heruntergeladene Dateien, damit macOS vor deren Ausführung warnen oder sie verhindern kann․ Klingt einfach, ist es nicht․​

​​​​​Ohne Jailbreak: Wie ein Entwickler die iOS-Standardschrift auswechselte
#Apple #CVE #Sicherheitslücken #iOS #iPhone

Eine kleine App genügt, um die Standard-Schriftart in iOS auszuhebeln․ Ein Entwickler zeigt, wie das geht – allerdings hat Apple schon Maßnahmen ergriffen․

​​​​​Rust: bis zu 2500 Projekte durch Bibliothek Hyper für DoS verwundbar
#Bibliothek #DoSSchwachstelle #Rust #Security #Sicherheitslücken

Enthält die to bytes-Funktion von Hyper keine Längenbeschränkung, so lassen sich schnell DoS-Attacken ausführen․ Abhilfe schafft die offizielle Doku․

​​​​​Schadcode-Lücke in JsonWebToken-Bibliothek bedroht 22․000 Software-Projekte
#JsonWebToken #Patch #Security #Sicherheitslücken #SoftwareBiblioheken #SupplyChainAttack #Update

Aufgrund einer Sicherheitslücke in einer weitverbreiteten Bibliothek sind Open-Source-Projekte von unter anderem IBM und Microsoft verwundbar․

​​​​​Versionsverwaltung: Git schließt zwei kritische Lücken in Version 2․39
#Git #GitHub #OSTIF #Security #Sicherheitslücken #X41DSec

Sicherheitsforscher haben Lücken in Git entdeckt, durch die beliebiger Code ausgeführt werden konnte․ Patches stehen bereit, Nutzer sollten umgehend updaten․

​​​​​CMS: Typo3-Schwachstelle ermöglicht Cross-Site-Scripting
#CMS #LinuxundOpenSource #Security #Sicherheitslücken #Sicherheitsupdates #Typo3 #XSS

Im Content-Management-System Typo3 könnten Angreifer eine Cross-Site-Scripting-Lücke angreifen, um schädlichen HTML-Code einzuschleusen․ Updates stehen bereit․

​​​​​Paketmanager PyPI: 451 Pakete versuchen, Kryptowährung zu stehlen
#Kryptowährung #Programmiersprachen #Python #Security #Sicherheitslücken #SoftwareSupplyChain

Zahlreiche Pakete nutzen Typosquatting und installieren eine Browser-Erweiterung für Chromium, um unter Windows Transaktionen von Kryptowährungen zu kapern․

​​​​​Log4Shell: Open Source als Gefahr für die Software-Lieferkette
#BSI #Digitalisierung #LinuxundOpenSource #Log4Shell #Log4j #Qualitätssicherung #Security #Sicherheitslücken

In einem Online-Workshop diskutierte das BSI mit Beteiligung von Open-Source-Entwicklern die Konsequenzen der Log4Shell-Lücke․ Leider mit zu wenig Konsequenzen․

​​​​​heise-Angebot: Software wird nicht von alleine sicher – Webinar-Serie für sichere Entwicklung
#Entwicklung #IdentityManagement #Programmierung #Security #Sicherheitslücken #Softwareentwicklung #Webentwicklung

In fünf Webinaren vom 23․ Mai bis 27․ Juni 2023 lernen angehende Security-Champions Grundlagen und Praxis-Know-how für sichere Software- und Webentwicklung․

​​​​​Softwaresicherheit: Mit KI gegen Softwarefehler
#MachineLearning #Sicherheitslücken #SoftwareSicherheit #Veracode

Veracode hat unter dem Namen Fix ein ML-gestütztes Produkt vorgestellt, das Entwicklerteams dabei helfen soll, unsicheren Code leichter zu beheben․

​​​​​JavaScript-Sandbox vm2: PoC zeigt neuen Sandbox-Ausbruch
#Ausbruch #JavaScript #Sandbox #Security #Sicherheitslücken #Sicherheitsupdates #vm2

Eine kritische Lücke in der JavaScript-Sandbox vm2 können Angreifer zum Ausbruch missbrauchen․ Aktualisierte Software steht bereit, die die Lücken schließt․

​​​​​Windows 11: Ein Vorgeschmack auf Rust für Developer im Insider-Programm
#CC #Microsoft #Rust #Sicherheitslücken #Speichersicherheit #Windows11

Was ist daraus geworden, Windows in Rust neu zu schreiben? Microsofts Verantwortlicher für Open-Source-Sicherheit gibt im Insider-Programm den Startschuss․

​​​​​JavaScript-Sandbox vm2: Neue kritische Schwachstelle, kein Update mehr
#JavaScript #Sandbox #Security #Sicherheitslücken #Softwareentwicklung

Für die jüngste kritische Sicherheitslücke im Open-Source-Projekt vm2 gibt es keinen Bugfix, sondern der Betreiber rät zum Umstieg auf isolated-vm․

​​​​​OWASP Top 10 für KI: Das sind die größten Schwachstellen
#Chatbots #ITSecurity #KünstlicheIntelligenz #LLM #OWASP #OWASPTop10 #Security #Sicherheitslücken

OWASP hat die erste Version der Top 10 Schwachstellen von LLMs vorgestellt․ Mit dabei: Prompt-Injektion, unsichere Plugins und Leaken von Geschäftsgeheimnissen․

​​​​​heise-Angebot: iX-Workshop: OWASP Top 10 – Webanwendungen effektiv absichern (Frühbucherrabatt)
#OWASP #Sicherheitslücken #Webanwendungen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können․

​​​​​Entwickler von Notepad++ ignoriert offensichtlich Sicherheitslücken
#Notepad #Patches #Security #Sicherheitslücken #Updates

Mehrere Sicherheitslücken gefährden den Texteditor Notepad++․ Trotz Informationen zu den Lücken und möglichen Fixes steht ein Sicherheitsupdate noch aus․

​​​​​Falscher CVE-Eintrag: Die kritische curl-Lücke, die keine war
#CVE #Curl #Sicherheitslücken

CVE-Einträge können grob in die Irre führen – wie der Entwickler des Open-Source-Tools curl jetzt am eigenen Projekt feststellen musste․

​​​​​Sofort Updaten: Kritische Lücke in Gitlab
#Git #Hacking #Sicherheitslücken

Eine kritische Sicherheitslücke bedroht die Enterprise-Anwender des Repository-Diensts Gitlab․ Kunden sollten unverzüglich ein Update einspielen․

​​​​​Universe 2023: KI-Security-Features, Entwickler in Indien auf der Überholspur
#Git #GitHub #KünstlicheIntelligenz #LLM #Schwachstellenanalyse #Security #Sicherheitslücken #Software #Softwareentwicklung #Spracherkennung

GitHub stellt neue KI-getriebene Sicherheitsfeatures für das Advanced-Security-Programm vor․ Der Octoverse Report zeigt die Trends in der Softwareentwicklung․