Comretix Blog

Bei ihren Antworten geben ChatGPT, Copilot, Grok und andere KI-Chatbots laut einer systematischen Analyse auch russische Propaganda wieder. Demnach zielt ein prorussisches Netzwerk namens "Pravda" – das russische Wort für "Wahrheit" – darauf ab, möglichst viel russlandfreundliche Falschinformationen in die Trainingsdaten der KI-Modelle zu bekommen sowie die Echtzeit-Suche zu beeinflussen.

Zu dieser These kommt eine Studie, die das privatwirtschaftliche Unternehmen Newsguard veröffentlicht hat, welches sich für Glaubwürdigkeit und Transparenz bei Online-Medien einsetzt, dabei aber auch schon selbst in die Kritik geraten ist. Die getesteten Chatbots waren ChatGPT von OpenAI, der Smart Assistant von You.com, Grok von xAI, Pi von Inflection, le Chat von Mistral, Copilot von Microsoft, Meta AI, Claude von Anthropic, Gemini von Google und die KI-Suchmaschine von Perplexity. Newsguard testete die Chatbots mit einer Stichprobe von 15 Falschmeldungen, die von einem Netzwerk von 150 Kreml-nahen Websites zwischen April 2022 und Februar 2025 verbreitet wurden. In 33 Prozent der Fälle wiederholten die Chatbots Inhalte von Falschmeldungen.

Das russische Desinformationsnetzwerk "Pravda" verfolgt diesen Effekt laut Newsguard ganz gezielt. Dabei wird Propaganda auf dafür erstellten Webseiten von den Crawlern der KI-Anbieter in das Repertoire der Trainingsdaten aufgenommen sowie bei der Echtzeit-Suche genutzt. Laut der Analyse gibt es 3,6 Millionen Artikel, die alleine im Jahr 2024 mit dieser Absicht veröffentlicht wurden. Bereits seit 2022 soll das Netzwerk Falschinformationen verbreiten und das auch in zahlreichen Sprachen.

Die Webseiten mit den Artikeln sollen dabei gezielt für die Crawler und weniger für den menschlichen Leser ausgelegt sein. Verbreitet werden vor allem bestehende Inhalte aus den russischen Staatsmedien und von Kreml-freundlichen Influencern. Das heißt, es geht um eine Multiplikator-Wirkung, die durch häufiges Veröffentlichen und Teilen der Inhalte geschieht und so die Wahrscheinlichkeit erhöhen soll, von KI-Modellen genutzt zu werden.

Newsguard und eine weitere Non-Profit-Organisation aus den USA, Sunlight Project, sprechen von "LLM Grooming". Grooming bezeichnet eigentlich den Versuch erwachsener Personen, an Kinder und Jugendliche heranzutreten und diese zu manipulieren. In der Regel geht es um sexuellen Missbrauch. Die Übertragung des Begriffs auf KI und Propaganda ist fragwürdig.

Am Nachmittag des 15. März 2025 sind die Webseiten der Online-Glücksspielanbieter Slotmagie, Crazybuzzer und Merkurbets in einen Wartungsmodus versetzt worden. Sie gehören der Merkur.com AG, einem der größten deutschen Unternehmen für Glücksspiele aller Art. Die Spielangebote gingen nach Beobachtungen von heise online am Samstagnachmittag zwischen 14 und 16 Uhr vom Netz. Die Webseiten sind noch erreichbar, Spiele sind dort jedoch zum Zeitpunkt dieser Meldung nicht mehr möglich.

Am Vorabend hatte die Sicherheitsforscherin Lilith Wittmann in einem Blogpost auf ein bis kurz zuvor existierendes massives Datenschutzproblem hingewiesen: Zahlreiche Daten von mehreren Hunderttausenden Spielern waren über APIs der Casinos abrufbar. Bereits am Donnerstag hatte der Anbieter die Spieler über eine Sicherheitslücke und einen damit einhergehenden Datenabfluss am Donnerstagabend informiert.

Zum Einsatz kommt dort eine GraphQL-Schnittstelle, die auch verschachtelte Abrufe von mehreren Objekten zugleich erlaubt. Unberechtigte Abfragen sollten eigentlich durch ein funktionierendes Berechtigungsmanagement verhindert werden, was hier aber nicht der Fall war. Wittmann fand nicht nur Daten wie vollständige Namen und Kontoinformationen, sondern auch Spielverläufe sowie Ein- und Auszahlungen der Spieler. Bei vielen kamen auch Informationen dazu, mit denen diese sich gegenüber dem Glücksspielanbieter legitimierten.

Laut den Reports, mit denen Wittmann die Glücksspielbehörde der Länder (GGL) informiert hatte, und die heise online vorliegen, waren darin auch unter anderem Kopien von Personalausweisen und Schreiben von Arbeitsagenturen zu finden. Allein bei den Ausweisen sollen es über 70.000 Exemplare gewesen sein, insgesamt fanden sich Daten von über 800.000 Personen. Legitimation von Kunden, unter anderem durch Ausweise, ist für manche Onlineanbieter im Zuge von "Know-Your-Customer"-Verfahren (KYC) rechtlich vorgeschrieben.

Die Merkur-Gruppe nutzt in Ihren Casinos eine Portalsoftware der maltesischen Firma "The Mill Adventures". Diese verfügte über eine unzureichend geschützte GraphQL-Schnittstelle. Wittmann zufolge betreibt das Unternehmen neben einer legalen Instanz seiner Software auch eine weitere für einige in Deutschland nicht legale Online-Casinos. Nach Stichproben am frühen Samstagabend sind auch diese mutmaßlich illegalen Casinos vorerst nicht mehr erreichbar.

Kryptowährung im Wert von 1,5 Milliarden US-Dollar konnten Cyberkriminelle stehlen, weil es ihnen gelang, das vom betroffenen Unternehmen genutzte Wallet des Anbieters "Safe{Wallet}" zu manipulieren. Dieser beschäftigt sich seitdem damit, wie das passieren konnte und es künftig (hoffentlich) nicht nochmal wird. Erste Untersuchungsdetails veröffentlichte Safe jetzt, demnach könnten die Angreifer unter anderem einen verantwortlichen Entwickler bei Safe getäuscht haben.

Der Coup, der den Kriminellen am 21. Februar bei der Kryptobörse Bybit gelang, machte große Schlagzeilen: Als die Verantwortlichen eine große Menge der Kryptowährung Ethereum (Ether) von einem Wallet ins andere transferieren wollten, gelangten die Coins in die Hände professioneller Angreifer, wohl auch, weil diese das eingesetzte Safe-Wallet manipulieren konnten. Das FBI macht die mit dem nordkoreanischen Staat in Verbindung stehende Gruppe "TraderTraitor" verantwortlich. Safe kooperiert bei der Aufarbeitung des Vorfalls jetzt mit der amerikanischen IT-Sicherheitsberatung Mandiant.

Auf X teilte Safe den aktuellen Stand der Untersuchungen mit. Mit der klaren Einschränkung: Dies sei nur ein vorläufiger Bericht, es sei noch viel weitere Arbeit zu tun. Bestimmte Lücken bei der Rekonstruktion würden bleiben, da es dem Angreifer gelungen sei, die Malware nach dem Angriff vom betroffenen Gerät zu löschen, ebenso wie den Verlauf des Bash-Terminals. Zudem arbeite Safe daran, alle Dienste und Netzwerke für Online-Nutzer wiederherzustellen.

Das Übel nahm bereits am 4. Februar seinen Lauf: An diesem Tag wurde laut Safe der Laptop eines Entwicklers ("Developer1") kompromittiert und ein Sitzungstoken für Amazon Web Services (AWS) entwendet, um die Kontrollen der Multi-Faktor-Authentifizierung (MFA) zu umgehen. Der Betroffene war demnach einer der wenigen Mitarbeiter, die für die Erfüllung ihrer Aufgaben eine höhere Zugriffsberechtigung hatten.

Die Sicherheitsforscher gehen davon aus, dass für die Kompromittierung ein Docker-Projekt namens MC-Based-Stock-Invest-Simulator-main mit der Domain getstockprice(.)com kommuniziert hat. Das Docker-Projekt sei auf dem Gerät nicht mehr verfügbar, dennoch waren Dateien dazu im Verzeichnis ~/Downloads/ zu finden, was ein möglicher Anhaltspunkt für Social Engineering sei. Dabei versuchen Angreifer, die Opfer zu manipulieren, indem sie menschliche Schwächen und Eigenschaften ausnutzen. Zum Beispiel, damit die Opfer selbstständig Programme auf Systemen installieren, wie womöglich in diesem Fall. Mandiant verweist auf weitere ähnliche Angriffe durch TraderTraitor, von denen das Unternehmen Kenntnis hat.

Die Union, SPD und die Grünen haben sich auf ein Finanzpaket geeinigt, das die Schuldenbremse auflockert. Dabei geht es auch um das Budget für die IT-Sicherheit: Es soll nicht mehr auf die Schuldenbremse angerechnet werden, soweit die Ausgaben künftig 1 Prozent des Bruttoinlandsprodukts überschreiten. Die gleiche Regelung gilt für Ausgaben bei der Bundeswehr, dem Katastrophen- und Zivilschutz sowie bei Nachrichtendiensten. Das gaben der wahrscheinlich nächste Bundeskanzler und CDU/CSU-Fraktionsvorsitzende Friedrich Merz und CSU-Landesgruppenchef Alexander Dobrindt am Freitagmittag bei der Vorstellung der Einigung bekannt.

Damit dürfte nun – nachdem zuletzt die IT-Sicherheit trotz vieler Lippenbekenntnisse immer wieder zum Streichposten im Haushalt erklärt worden war – deutlich mehr Mittel für die zuständigen Stellen zur Verfügung stehen, allen voran das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Auch das Auswärtige Amt, heißt es aus Verhandlerkreisen, soll deutlich mehr Geld für Cybersicherheitsmaßnahmen erhalten können, wenn benötigt.

Allerdings sind die Pläne bislang nicht weiter inhaltlich unterfüttert. Die Änderungen bei der Schuldenbremse sowie die Einrichtung eines 500-Milliarden-Euro-Sondervermögens für Investitionen in die Infrastruktur mit einer Laufzeit von 12 Jahren müssen noch vom Bundestag mit Zwei-Drittel-Mehrheit verabschiedet werden. CDU/CSU-, SPD- und Grünen-Fraktion hatten bis in den frühen Morgen hinein über die Einigung verhandelt. Zur Einigung zählen 100 Milliarden Euro für den Klimaschutz, inklusive klimafreundlicher Förderungen der Wirtschaft.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Um Attacken auf Windows-Computer mit der Fernzugriffssoftware Ivanti Secure Access Client (ISAC) vorzubeugen, sollten Admins eine aktuelle Version installieren. Bislang gibt es den Entwicklern zufolge aber keine Hinweise, dass Angreifer die nun geschlossene Sicherheitslücke bereits ausnutzen.

Wie aus einer Warnmeldung hervorgeht, müssen Angreifer für Attacken lokalen Zugriff haben und authentifiziert sein. Ist das gegeben, können sie sich über die Schwachstelle (CVE-2025-22454 "hoch") höhere Rechte verschaffen. Aufgrund der Einstufung der Lücke ist davon auszugehen, dass Angreifer auf diesem Weg Systeme kompromittieren können.

Die Entwickler versichern, dass sie die Schwachstelle in den ISAC-Ausgaben 22.7R4 und 22.8R1 geschlossen haben. Weil es ihnen zufolge noch keinen Exploit gibt, können sie Admins keine Hinweise (Indicator of Compromise, IoC) geben, woran sie bereits erfolgte Attacken erkennen können.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Angreifer können an Sicherheitslücken in Zoom Meetings SDK, Rooms Client, Rooms Controller, Workplace App, Workplace Desktop App und Workplace VDI Client ansetzen. Sind Attacken erfolgreich, verfügen sie über höhere Nutzerrechte. Aktualisierte Ausgaben schließen die Schwachstellen.

Im Sicherheitsbereich der Zoom-Website listen die Entwickler die bedrohten Anwendungen auf. Bislang gibt es keine Berichte, dass Angreifer Lücken bereits ausnutzen.

Haben Angreifer Netzwerkzugriff und sind authentifiziert, können sie etwa an einer Schwachstelle (CVE-2025-0151 "hoch") ansetzen, um ihre Rechte zu erhöhen. Wie so ein Angriff im Detail abläuft, ist bislang nicht bekannt.

Außerdem können Angreifer via DoS-Attacke Abstürze provozieren (CVE-2025-0150 "hoch"). Von den Sicherheitslücken sind die Betriebssysteme Android, iOS, Linux, macOS und Windows bedroht. Admins sollten sicherstellen, dass die aktuellen, gegen die geschilderten Attacken geschützten Ausgaben installiert sind. Diese findet man im Downloadbereich der Zoom-Website.

Unter bestimmten Voraussetzungen können Angreifer FortiAnalyzer, FortiOS, FortiSandbox, FortiPAM, FortiProxy und FortiWeb ins Visier nehmen. Bislang gibt es aber noch keine Informationen über laufende Attacken. Admins sollten aber nicht zu lange mit der Installation der Sicherheitsupdates warten.

Wie aus dem IT-Sicherheitsbereich der Fortinet-Website hervorgeht, sind verschiedene Versionen der genannten Produkte verwundbar. Am gefährlichsten gilt eine Lücke (CVE-2024-52961 "hoch") in FortiSandbox 3.0 bis einschließlich 5.0.

Weil Eingaben nicht ausreichend bereinigt werden, können Angreifer ohne Authentifizierung mit speziellen, nicht näher spezifizierten Eingaben eigene Befehle ausführen. Dafür sollen aber mindestens Nur-Lese-Berechtigungen nötig sein. Die Ausgaben 4.0.6, 4.2.8, 4.4.7 und 5.0.1 sind dagegen gerüstet.

FortiOS, FortiPAM, FortiProxy und FortiWeb sind unter anderem für Schadcode-Attacken (CVE-2024-45324 "hoch") anfällig. Die dagegen gerüsteten Ausgaben listet der Netzwerkausrüster in einer Warnmeldung auf.

Ciscos Netzwerkbetriebssystem IOS XR ist verwundbar. Demzufolge können Angreifer etwa Aggregation Services Router (ASR) der ASR-9000-Serie attackieren. Sicherheitspatches stehen zum Download bereit. Hinweise zu den Sicherheitsupdates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.

Als besonders gefährlich gilt eine Lücke (CVE-2025-20138 "hoch"), nach deren erfolgreicher Ausnutzung Angreifer als Root auf das Betriebssystem zugreifen können. In der Regel gelten Geräte im Anschluss als vollständig kompromittiert.

Dafür muss ein lokaler Angreifer einem Beitrag von Cisco zufolge aber bereits mit einem Low-Privileged-Account authentifiziert sein. Ist das gegeben, kann er aufgrund von unzureichenden Überprüfungen seine Rechte zum Root hochstufen und eigene Befehle ausführen.

Darüber hinaus sind an mehreren Stellen (etwa CVE-2025-20115 "hoch") DoS-Attacken möglich. An dieser Stelle können Angreifer mit präparierten Anfragen am Border Gateway Protocol (BGP) ansetzen und so Speicherfehler auslösen. Das führt in der Regel zu Abstürzen.

Außerdem können Angreifer den Schutzmechanismus Secure Boot umgehen (CVE-2025-20143 "mittel"), um so unter anderem das System bereits vor dem Start zu kompromittieren. Die Hürden dafür sind aber hoch: Angreifer müssen über Root-Rechte verfügen und in so einer Position können sie ohnehin schon weitreichenden Schaden anrichten.

Angreifer können an mehreren Schwachstellen in Gitlab ansetzen und Systeme im schlimmsten Fall kompromittieren.

Anzeige

Wie aus einer Warnmeldung hervorgeht, gelten zwei Sicherheitslücken (CVE-2025-25291, CVE-2025-25292) als "kritisch". Systeme sind aber nur verwundbar, wenn die Authentifizierung via SAML SSO aktiv ist und Angreifer bereits einen Nutzer-Account übernommen haben.

Die Fehler finden sich in der ruby-saml-Bibliothek, die Gitlab für diese Form der Anmeldung nutzt. Sind die Voraussetzungen erfüllt, können sich Angreifer als ein anderer Nutzer an Systemen anmelden.

Die Entwickler geben an, die Schwachstellen in Gitlab Community und Enterprise Edition 17.7.7, 17.8.5 und 17.9.2 geschlossen zu haben. Auf Gitlab.com laufen bereits die abgesicherten Ausgaben. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Die Gitlab-Entwickler raten dennoch zur raschen Installation des Patches.

Die von Robin Rowe entwickelte Programmiersprache TrapC ist eine auf Cybersicherheit spezialisierte Variante von C, die darauf abzielt, in C/C++ gängige Speicherprobleme und Pufferüberläufe zu vermeiden. Rowe hat sein Projekt auf dem letzten ISO-C-Meeting im Februar vorgestellt und Ende des Jahres 2025 soll der Compiler Open Source verfügbar sein. Er verarbeitet C- und TrapC-Code und ist auch zu einfachem C++ kompatibel.

Anzeige

Wir sprechen mit Robin über die Sicherheit und Zukunft seiner Idee. Das Interview wurde auf Englisch geführt und an einigen Stellen verweisen wir auf die Originalformulierung.

Robin, warum genau ist TrapC sicherer als C/C++?

Um darüber nachzudenken, was Softwaresicherheit einfach erklärt wirklich bedeutet, sollten wir uns einige grundlegende Fragen darüber stellen, was passiert, wenn typische Fehler in C- und C++-Code – dem heutigen State of the Art – auftreten.

Zum März-Patchday hat Microsoft Korrekturen für insgesamt 57 CVE-Schwachstelleneinträge veröffentlicht. Fünf davon betreffen als kritisch eingestufte Lücken in Windows-Systemen; von weiteren 33 Windows-Schwachstellen mit hohem Schweregrad werden sechs bereits ausgenutzt. Weitere betroffene Produkte sind unter anderem Office, Edge, Visual Studio und einige Azure-Komponenten.

Anzeige

Wie gewohnt bietet Microsoft in seinem Security Response Center eine nach Produkt und Schweregrad filterbare Liste an; in den Release Notes für den März-Patchday listet Microsoft zudem alle 57 CVEs auf.

Die fünf kritischen Windows-Lücken wurden demnach bislang noch nicht ausgenutzt. CVE-2025-24035 und CVE-2025-24045 adressieren das Risiko einer Remotecodeausführung über den Windows-Remotedesktopdienst; Microsoft schätzt das Risiko einer Ausnutzung hier als wahrscheinlich ein.

Als weniger wahrscheinlich gelten die Lücken CVE-2025-26645 (Lücke im Remotedesktop-Client), CVE-2025-24084 (Gefahr einer Remotecodeausführung durch das Windows Subsystem für Linux 2) und CVE-2025-24064 (Lücke im Domain Name Service). Immerhin

Die aktuelle Lage der kommunalen Cybersicherheit in Deutschland ist besorgniserregend. Das geht aus der Studie "Defizite, Anforderungen und Maßnahmen: Kommunale Cybersicherheit auf dem Prüfstand" von Dr. Tilmann Dittrich und Prof. Dennis-Kenji Kipker und IT-Sicherheitsanbieter NordPass hervor. Als Grund für die aktuelle Lage nennt Kipker "eine Mischung aus leichtfertiger Digitalisierung, fehlenden einheitlichen Standards in Deutschland zur Cybersicherheit, einem deutlich verzögerten Reagieren der Politik und damit des Gesetzgebers, insbesondere in den Bundesländern". Vielen Kommunen fehle es zudem an Geld und Personal, um die für die Cybersicherheit erforderlichen Maßnahmen umzusetzen.

Anzeige

Zwar bieten speziell die Datenschutz-Grundverordnung (DSGVO) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Rahmen und machen Vorgaben zu "Verfügbarkeit, Vertraulichkeit und Integrität von Daten und IT". Diese seien "jedoch im Anwendungsbereich vielfältig beschränkt und decken keineswegs die Gesamtheit kommunaler Cyberrisiken ab". Aktuell seien die organisatorischen Vorkehrungen der Kommunen unzureichend und würden "durch eine unübersichtliche Gemengelage aus landes-, bundesgesetzlichen und EU-rechtlichen Vorgaben bestärkt".

Die IT-Sicherheitsgesetze der Bundesländer sowie die geplanten Ausnahmen der NIS2-Regulierung der EU würden daran nichts ändern. Die Sicherheitsvorgaben des Onlinezugangsgesetzes betreffen zudem nur ausgewählte Verwaltungsleistungen. Eine einheitliche und übersichtliche Cybersicherheitsstrategie ist nicht vorhanden, resümieren die Autoren. Auf Länderebene haben Baden-Württemberg, Hessen, Sachsen, Saarland, Bayern, Niedersachsen und Rheinland-Pfalz Regelungen zur Cybersicherheit in Kommunen getroffen. Die Länder haben teilweise bereits Landes-CISO ernannt, die sich um die IT-Sicherheit kümmern.

Die Verantwortung für die Cybersicherheit liegt den Autoren zufolge bei der Leitungsebene der Kommunen, die geschult werden und IT-Sicherheitsstandards sowie ein darüber hinausgehendes Risikomanagement etablieren sollten. Zudem sollten die Kommunen einen CISO samt Expertenteam ernennen. Outsourcing auf IT-Dienstleister müsse außerdem nach klaren Vorgaben an die Cybersicherheit erfolgen. Zu guter Letzt empfehlen Kipker und Dittrich einen Notfallplan und regelmäßige Schulungen.

Nutzer der App von Eshyft, einem IT-Unternehmen aus New Jersey, sind von einem mehr als 100 GByte großen Datenleck betroffen. Auf einem falsch konfigurierten Cloud-Speicher von Amazon Web Services (AWS) waren demnach monatelang sensible Daten von mehr als 86.000 Pflegekräften und anderem medizinischem Personal aus 29 US-Bundesstaaten offen einsehbar. Der IT-Sicherheitsforscher Jeremiah Fowler von Cybernews hatte das Unternehmen auf die Sicherheitslücke aufmerksam gemacht.

Anzeige

Fowler hatte die offene Datenbank laut seinem Bericht am 4. Januar entdeckt und sie zwei Tage später an Eshyft gemeldet. Obwohl das Unternehmen daraufhin Maßnahmen ankündigte, blieb der Speicher mit Informationen des Unternehmens noch über einen Monat lang öffentlich zugänglich. Erst am 5. März wurde die Lücke geschlossen.

Die App ermöglicht die kurzfristige Besetzung von offenen Schichten in Krankenhäusern und anderen Langzeitpflegeeinrichtungen mit zertifizierten Pflegekräften und Krankenschwestern. Mehr als 50.000 Mal wurde sie aus dem Google Play Store heruntergeladen und ist auch im Apple App Store verfügbar.

Vom Sicherheitsforscher geschwärzte Ausweisdokumente, die monatelang öffentlich zugänglich waren.

In der aktuellen Folge von "Passwort" arbeiten die Hosts eine Reihe von Security-Nachrichten aus den vergangenen Wochen auf. Los geht es mit einer Kritik an "ACME-HTTP-01", also einem Teil des Protokolls zur automatisierten Bereitstellung von Web-Zertifikaten – dem Lieblingsthema des Podcasts. ACME-HTTP-01 weißt eine Lücke auf, die altbekannt, potenziell folgenschwer und doch nicht behoben ist. Christopher und Sylvester diskutieren, was es damit auf sich hat, wie relevant das Problem in der Praxis ist und wie man es lösen könnte.

Anzeige

Für Nutzer von iPhone, iPad, Mac, Vision Pro und Apple TV warten in der Softwareaktualisierung in den Systemeinstellungen wichtige Updates: Apple hat am späten Dienstagabend Aktualisierungen vorgelegt. Es handelt sich nicht um Funktionsupdates, sondern um Fehlerbehebungen – samt mindestens einer schweren Sicherheitslücke.

Anzeige

iOS 18.3.2 und iPadOS 18.3.2 enthalten laut Apple "wichtige Fehlerbehebungen und Sicherheitsupdates" und sollen ein Problem beheben, das die Wiedergabe "bestimmter Streaminginhalte" verhindert hatte – nähere Angaben dazu, welche genau und wann, machte Apple nicht. Weiterhin wurde eine Sicherheitslücke in der Browser-Engine WebKit behoben, die unter anderem von Safari verwendet wird, aber auch in anderen iOS- und iPadOS-Browsern steckt.

Es handelt sich um einen Out-of-bounds-Fehler mit der CVE-ID 2025-24201, den Apple laut eigenen Angaben selbst entdeckt hat. Er erlaubte es böswilligen Angreifern, über eine manipulierte Website aus der Web-Content-Sandbox auszubrechen. Es handelt sich demnach um einen "Zusatzfix" für ein Problem, der bereits in iOS 17.2 vom vorletzten Jahr behoben wurde. Für dieses gab es Apple vorliegende Berichte über Angriffe durch staatliche allimentierte Hacker, die es auf "specific[ally] targeted individuals" abgesehen hatten, offenbar aus dem politischen Bereich. Wieso Apple die Lücke jetzt erst schließt, bleibt unklar.

macOS 15.3.2 enthält wiederum nicht näher ausgeführte Fehlerbehebungen plus den Fix für den WebKit-Bug. macOS Ventura (13) und Sonoma (14) erhalten dafür ein einfaches Safari-Update auf Version 18.3.1.

Für die Ausfälle des Kurznachrichtendiensts X am Montag waren DDoS-Angriffe eines Botnets verantwortlich, das sich aus Kameras und Videorekordern zusammensetzt. So beschreibt es unter anderem der unabhängige Sicherheitsforscher Kevin Beaumont gegenüber dem US-Magazin Wired. Dass die keineswegs innovativen Attacken überhaupt so erfolgreich waren, liegt ihm zufolge an unzureichenden Sicherheitsvorkehrungen von X. Einige der Server des Diensts, die auf Anfragen aus dem Internet antworten und damit für DDoS-Angriffe anfällig sind, seien nicht von dem DDoS-Schutz abgedeckt gewesen, den X bei Cloudflare gebucht hat. Die Endpunkte konnten also direkt angegriffen werden. Inzwischen sei das behoben.

Anzeige

X war am Montag infolge der Attacken mehrfach offline gegangen und für die Nutzer und Nutzerinnen nicht erreichbar. Insgesamt haben externe Experten laut Wired fünf verschiedene Angriffswellen beobachtet. Die beobachteten Fehler fielen dabei unterschiedlich aus, teilweise kam überhaupt keine Verbindung mit dem Server zustande, teilweise konnte die Seite von X zumindest geladen werden, es fehlten aber die Inhalte. X-Chef Elon Musk hat von einer massiven Cyberattacke gesprochen, bei der die eingesetzten Ressourcen auf eine große Gruppe oder ein Land deuten würde. Dem widersprechen die Erkenntnisse der externen Beobachter jetzt. Ausschlaggebend für die Tragweite waren demnach mangelnde Vorkehrungen.

Musk hat außerdem behauptet, dass IP-Adressen "aus dem Gebiet der Ukraine" für die Attacke verantwortlich seien. Während die bei einer DDoS-Attacke beobachteten IP-Adressen aber höchstens einen Hinweis darauf geben können, wo die kompromittierten Geräte stehen, die massenhaft auf die angegriffene Seite zuzugreifen, lässt sich darüber nicht auf die Verantwortlichen schließen. Im konkreten Fall gibt es aber sogar Zweifel, dass ukrainische IP-Adressen überhaupt in nennenswerter Menge aufgetaucht sind. Eine anonyme Quelle hat Wired versichert, dass von den 20 aktivsten IP-Adressen der Attacke keine aus der Ukraine stammt.

Ein Experte von Nokia hat auf Mastodon ergänzt, dass die genutzten IP-Adressen aus der ganzen Welt kommen – so wie man es von Botnetzen kenne. Passen würde die Verteilung demnach zu einem ganz jungen namens Eleven11bot. Das wurde laut Jérôme Meyer erst vor wenigen Tagen zum ersten Mal beobachtet und bestehe hauptsächlich aus kompromittierten Webcams und Videorekordern. Innerhalb kürzester Zeit sei es auf mehr als 30.000 Geräte angewachsen und gehöre damit zu den größten, die in jüngerer Vergangenheit aufgetaucht sind. In der kurzen Zeit steckte es demnach bereits hinter Angriffen auf ganz unterschiedliche Sektoren.