Comretix Blog

In der vergangenen Woche hatten erste Windows-10-Rechner bei der Update-Suche angezeigt, dass in Kürze eine Registrierung für erweiterte Sicherheitsupdates verfügbar werden soll. Nun ist es offenbar so weit. Uns liegt ein Leserhinweis vor, dass dort nun ein Link auf die Registrierung erschienen ist.

Es handelt sich um Windows 10 in der Home-Edition, die Anmeldung erfolgte mit einem Admin-Konto. Damit setzt Microsoft das Versprechen um, erstmals auch Privatkunden-PCs mit erweiterten Sicherheitsupdates zu versorgen.

Die Update-Suche in Windows 10 liefert nun auf ersten PCs einen Registrierungslink.

(Bild: Screenshot / R. Börner)

Die "Extended Security Updates" (ESU) sind im Europäischen Wirtschaftsraum (EWU) entgegen erster Ankündigungen jetzt sogar kostenlos – wenn auch eine Registrierung mit einem Microsoft-Konto nötig ist, was einer Zahlung mit Daten entspricht. Der offizielle Support für Windows 10 endet mit dem Patchday am 14. Oktober.

Das Unternehmen Docker hat angekündigt, den Zugriff auf sichere Software-Pakete für alle Entwicklungsteams – insbesondere auch in kleinen und mittleren Unternehmen – erschwinglicher machen zu wollen. Laut offizieller Verlautbarung öffnet die Firma dazu team-übergreifend unbegrenzten Zugang auf ihre Docker Hardened Images über ein neues Abonnement-Modell, das sich 30 Tage lang kostenlos testen lässt.

Von herkömmlichen Container-Images sollen sich Hardened Images vor allem dadurch abheben, dass sie Entwicklungsteams einen nahezu CVE-freien Ansatz (near-zero CVE – Common Vulnerabilities and Exposures) ermöglichen. Jedes Image werde direkt aus dem Quellcode erstellt, kontinuierlich mit Upstream-Patches versorgt und durch das Entfernen unnötiger Komponenten gehärtet. Die minimalistische Herangehensweise reduziere nicht nur die Angriffsfläche, sondern liefert auch einige der kleinsten verfügbaren Images – laut Docker bis zu 95 Prozent kleiner als Alternativen.

Die gehärteten Images erfüllen SLSA-Level 3 und Compliance-Tools wie VEX (Vulnerability Exploitability eXchange) stellen den Teams weitergehende Informationen zu potenziellen Schwachstellen rund um die Images zur Verfügung, die dabei helfen können, sich nur auf die tatsächlich relevanten Sicherheitslücken zu konzentrieren. Docker gibt außerdem ein 7-Tage-Patch-Service-Level-Agreement ab, was bedeutet, dass bei einer neuen CVE, die eine Komponente des Images betrifft, binnen einer Woche eine gepatchte Version veröffentlicht werden muss.

Die Qualität der Hardened Images lässt Docker zudem durch die unabhängige Cybersecurity-Beratung SRLabs validieren. Die Prüfung bestätigt, dass die Images signiert sind, standardmäßig rootless laufen und mit SBOM plus VEX ausgeliefert werden.

Die Hardened Images sind mit weit verbreiteten Linux-Distributionen wie Alpine und Debian kompatibel. Laut Docker gelingt die Migration durch das Ändern einer einzigen Zeile im Dockerfile. Teams können die gehärteten Images individuell anpassen und sofort einsatzbereite Systempakete, Zertifizierungen, Skripte und Tools hinzufügen, ohne die gehärtete Basis zu verlieren.

Die Sicherheitssoftware IBM Security Verify Access und IBM Verify Identity Access zur Identitäts- und Zugangsverwaltung (IAM) ist für Angriffe anfällig. Vor drei Sicherheitslücken darin warnt IBM aktuell, von denen eine sogar als kritisches Risiko gilt.

IBM erörtert in der Sicherheitsmitteilung, dass lokale angemeldete Nutzerinnen und Nutzer ihre Rechte zu "root" ausweiten können, da die Software mit höheren Rechten als nötig ausgeführt wird (CVE-2025-36356 / EUVD-2025-32573, CVSS 9.3, Risiko "kritisch"). Außerdem können angemeldete Nutzer bösartige Skripte von außerhalb ihres Kontrollbereichs ausführen (CVE-2025-36355 / EUVD-2025-32575, CVSS 8.5, Risiko "hoch"). Die dritte Schwachstelle ermöglicht nicht angemeldeten Nutzern, beliebige Befehle mit niedrigeren Nutzerrechten auszuführen, da die Software benutzerübergebene Daten nicht hinreichend prüft (CVE-2025-36354 / EUVD-2025-32574, CVSS 7.3, Risiko "hoch").

Die Schwachstellen bessert IBM mit den Versionen IBM Security Verify Access 10.0.9.0-IF3 und IBM Verify Identity Access 11.0.1.0-IF1 aus. Betroffen sind die Appliances sowie die Docker-Container der Sicherheitslösung. IT-Verantwortliche sollten die Updates auf diese Fassungen zeitnah anwenden. IBM rät dazu, das so schnell wie möglich zu erledigen.

Der Aufruf des Befehls docker pull icr.io/isva/verify-access:[tag] bringt IBM Security Verify Access auf den aktuellen Stand, für IBM Verify Identity Access erledigt das der Aufruf von docker pull icr.io/ivia/verify-access:[tag]. Die korrekten Tags dafür listet IBM auf einer eigenen Webseite auf.

Ende vergangenen Jahres hatte IBM vier Sicherheitslücken in Security Verify Access schließen müssen. Drei davon galten als kritisches Risiko. Zwei Lücken hatten hartkodierte Zugangsdaten zum Gegenstand – die ließen sich quasi als Backdoor zur unbefugten Anmeldung missbrauchen.

Nachdem eine Cyberattacke auf den größten japanischen Brauereikonzern zu einem mehrtägigen Produktionsstopp geführt hat, gibt es bei der Konkurrenz Probleme, den zusätzlichen Bedarf zu decken. Das berichtet die japanische Tageszeitung Yomiuri Shinbun, nachdem die betroffene Brauerei Asahi ihre Produktion Anfang der Woche wieder aufgenommen hat. Der Konzern hatte die Cyberattacke am 29. September eingestanden und laut Medienberichten später die Produktion in sechs japanischen Brauereien gestoppt. Zu dem Angriff hat sich inzwischen die Ransomware-as-a-Service-Gruppe "Qilin" bekannt. Angeblich hat sie 27 Gigabyte an Daten entwendet. Was die Kriminellen verlangen und ob Asahi darauf eingegangen ist, ist unklar.

Botschaft von "Qilin" im Darknet

(Bild: Screenshot/heise medien)

Der Brauereikonzern hat den Angriff am 29. September publik gemacht und die Folgen für die Produktion eingestanden. Nachdem die Produktion an mehreren japanischen Standorten gestoppt werden musste, wird sie inzwischen wieder hochgefahren. Einen Zeitplan dafür gibt es aber nicht. Die Folgen sind bereits landesweit zu spüren. Laut Yomiuri Shinbun sind die Vorräte von Restaurants und Lebensmittelläden teilweise zur Neige gegangen und die Konkurrenten konnten den gestiegenen Bedarf nicht decken. So hat die Brauerei Sapporo erklärt, dass zuerst die bestehende Kundschaft beliefert werden soll. "Wenn das so weiter geht, könnte es darin gipfeln, dass die Menschen kein Bier mehr bekommen", zitiert die Zeitung den Chef einer Bar in Tokio.

Asahi ist vor allem für das japanische Bier Asahi Super Dry bekannt, die Brauerei vertreibt aber unter anderem auch die europäischen Biere Pilsner Urquell aus Tschechien, Grolsch aus den Niederlanden, Tyskie aus Polen und Peroni aus Italien. Von der Cyberattacke waren jetzt aber nur Produktionsstätten in Japan betroffen. Laut Asahi ging es dabei nicht nur um Bier, sondern auch um Softdrinks und Lebensmittel. Wann die Produktion wieder normal laufen soll und die Lieferschwierigkeiten behoben sein dürften, teilte Asahi nicht mit. Der Vorfall erinnert an die Geschehnisse bei dem britischen Automobilkonzern Jaguar Land Rover. Dort lag die Produktion aber sogar wochenlang still und zwischenzeitlich musste sogar die dortige Regierung mit einer Finanzhilfe einspringen.

IBM warnt vor einer kritischen Sicherheitslücke in den Betriebssystemen AIX und VIOS. Die Schwachstelle ermöglicht Angreifern, die Speicherordnung durcheinanderzubringen, und aufgrund des Schweregrads so wahrscheinlich Schadcode einzuschleusen und auszuführen. IT-Verantwortliche sollen jetzt die bereitstehenden Aktualisierungen installieren, rät der Hersteller dringend.

In der Sicherheitsmitteilung von IBM erläutern die Entwickler, dass AIX und VIOS auf den Paketmanager RPM setzen. Das wiederum setzt auf SQLite und bringt verwundbare Versionen vor 3.50.2 mit. Darin steckt eine Sicherheitslücke, die zu willkürlichen Speicherzugriffen führen können (CVE-2025-6965 / EUVD-2025-21441, CVSS 7.2, Risiko "hoch").

Abweichend von der Einstufung der SQLite-Lücke wertet IBM den Schweregrad mit einem CVSS-Wert von 9.8 als Risiko "kritisch". Betroffen sind AIX 7.2 und 7.3 sowie VIOS 3.1 und 4.1.

IBM veröffentlicht aktualisierte RPM-Filesets, die die verwundbaren Fassungen von "rpm.rte" von 4.15.1.1000 bis 4.15.1.1016, 4.15.1.2000 bis 4.15.1.2024 sowie 4.18.1.2000 bis 4.18.1.2006 ersetzen. Sie sind für Admins nach einem Log-in auf IBMs Webseite zum Herunterladen verfügbar. Ob anfällige Filesets auf dem System installiert sind, lässt sich mit dem Aufruf von lslpp -L | grep -i rpm.rte herausfinden.

Außerdem stellt IBM ein tar-Archiv bereit, in dem die Korrekturen für RPM stecken. Vor dem Einspielen der aktualisierten Fassungen rät IBM dazu, mittels mksysb ein Systembackup zu erstellen und sicherzustellen, dass es startet und lesbar ist. Anschließend entpackt der Befehl tar xvf rpm_fix4.tar die Updates.

Der Podcast feiert den phierzigsten Geburtstag des Hackermagazins Phrack und blickt zunächst auf die Geschichte des altehrwürdigen e-zines, wie sich das Magazin verändert hat und wie es produziert wird. Dabei bekommen sie ganz besondere Hilfe: Skyper aus dem Phrack-Team ist im Podcast zu Gast und erzählt von damals und heute.

Der von einem Cyberangriff lahmgelegte britische Autobauer Jaguar Land Rover will die Produktion ab dem heutigen Mittwoch schrittweise wiederaufnehmen. Den Anfang machen laut einer Mitteilung des Unternehmens das Motorenwerk in Wolverhampton sowie mehrere Presswerke, die Karosseriewerkstatt, die Lackiererei und das Logistikzentrum an verschiedenen Standorten in Großbritannien. Ebenfalls noch in dieser Woche soll das Werk in der slowakischen Stadt Nitra die Fahrzeugproduktion wiederaufnehmen. Über weitere Schritte will das Unternehmen zeitnah informieren.

Der Autobauer war am 31. August Ziel einer Cyberattacke geworden, die Produktion stand danach zunächst still. Die britische Regierung half dem angeschlagenen Unternehmen Ende September mit einer Garantie für einen Milliardenkredit zur Absicherung der Lieferkette. Der Kredit kommt von einer Geschäftsbank.

Das Wiederanfahren der Produktion war zunächst für den 24. September geplant, daraus wurde jedoch nichts. Der nächste anvisierte Termin für den Neustart war zu dem Zeitpunkt der 1. Oktober. Offensichtlich ließ sich aber auch dieser Termin nicht halten.

Der Chef von Jaguar Land Rover (JLR), Adrian Mardell, bezeichnete die Wiederaufnahme der Produktion nun als "wichtigen Moment für JLR und all unsere Stakeholder".

In die Debatte um die Chatkontrolle kommt kurz vor der entscheidenden EU-Ratssitzung Bewegung. Am Dienstagnachmittag erteilte Unionsfraktionschef Jens Spahn (CDU) der umstrittenen Maßnahme eine Absage. "Wir als CDU/CSU-Bundestagsfraktion sind gegen die anlasslose Kontrolle von Chats", sagte Spahn am Nachmittag vor Journalisten in Berlin. Wie heise online aus Fraktionskreisen erfuhr, soll die Chatkontrolle vorerst nicht im Rat zur Abstimmung kommen.

"Das wäre so, als würde man vorsorglich mal alle Briefe öffnen und schauen, ob da etwas Verbotenes drin ist", so Spahn. "Das geht nicht, das wird es mit uns nicht geben." Zugleich sei aber klar, dass Kindesmissbrauch bekämpft werden können müsse, betonte der Fraktionschef, und lobte die EU-Initiative. Eine Verordnung müsse Kinder wirksam schützen, "ohne dabei die Sicherheit und Vertraulichkeit individueller Kommunikation zu gefährden".

Knackpunkt ist das Wort "anlasslos". Die Union erteilt damit einer generellen Massenüberwachung eine Absage. Doch auch für eine anlassbezogene Überwachung von verschlüsselten Chats müsste die Technik massiv geschwächt werden, um Dritten Zugang zu den Inhalten zu ermöglichen. Damit wäre die Ende-zu-Ende-Verschlüsselung zwischen den Clients gebrochen.

Der erneute Vorstoß für eine Chatkontrolle wird von der dänischen Ratspräsidentschaft unter dem Banner der Bekämpfung des Kindesmissbrauchs geführt. Das EU-Parlament ist entschieden dagegen, das Grundrecht auf vor staatlichem Zugriff geschützte Kommunikation drastisch einzuschränken. Der EU-Rat der Mitgliedsstaaten sollte ursprünglich in der kommenden Woche darüber abstimmen.

Im Rat hatte bisher eine Minderheit mit Deutschland, Polen, Österreich und den Niederlanden eine Entscheidung verhindert. Sollte einer von den vier umfallen, wäre die Sperrminorität dahin.

Die Bundesregierung hat entschieden: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll die Einhaltung des Cyber Resilience Acts (CRA) kontrollieren. Dieser führt für alle möglichen Kategorien vernetzter Geräte Mindestvorschriften für die IT-Sicherheit ein – inklusive Mindest-Updatezeiträumen. Wer die jeweiligen Vorschriften nicht erfüllt, darf seine Geräte in den kommenden Jahren schrittweise nicht mehr in der EU auf den Markt bringen. Damit das funktionieren kann, soll das BSI nun überwachen, ob Hersteller und Importeure die Regeln einhalten. Dass das BSI zuständig sein soll, meldete die Bundesregierung jetzt an die europaweit zuständige EU-Kommission.

Die Behörde werde ihre "Rolle sehr gewissenhaft ausfüllen und darauf achten, dass die Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können", kündigte Präsidentin Claudia Plattner an. Der CRA sei ein "Gamechanger für die Sicherheit digitaler Produkte", da damit in der Breite das Cybersicherheitsniveau gesteigert werde, so Plattner. Eine Komplettüberwachung aller vernetzten Geräte ist dabei aber weder praktisch möglich noch gesetzlich vorgesehen. Wie bei der behördlichen Marktüberwachung üblich, will das BSI stattdessen stichprobenartig oder in gezielten Aktionen IT-Produkte auf Cybersicherheit überprüfen.

Bislang war das BSI keine Marktüberwachungsbehörde, auch wenn es mit dem IT-Sicherheitskennzeichen und der Befugnis für Produktwarnungen aus dem BSI-Gesetz schon verwandte Kompetenzen hatte. Im Rahmen des CRA darf die Behörde künftig bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes eines Anbieters als Strafe verhängen, je nachdem, welche Summe höher ist. So wie auch bei anderen Marktüberwachungs-Regimen darf das BSI künftig dann auch bei regelwidrigen Produkten ein Vertriebsverbot aussprechen. Zugleich ist das BSI als Konformitätsbewertungsstelle künftig für die Kriterien zuständig, nach denen Dritte die Einhaltung von Sicherheitsvorgaben für die unterschiedlichen Produktkategorien des CRA vergeben. Schnittstellen wird es auch weiterhin zur Bundesnetzagentur geben: Diese ist für einige verwandte Marktüberwachungsaufgaben zuständig, etwa im Bereich der sogenannten Funkanlagen-Richtlinie.

Für die Elektro- und Digitalindustrie sei es eine gute Nachricht, dass die Zuständigkeit nun klar benannt sei, sagt Lennard Kreißl vom ZVEI, der die Unternehmen im Verband bei der Cybersicherheit auf Produktebene gut aufgestellt sieht. "Eben deshalb wünschen wir uns eine starke und umfassende Marktüberwachung, die dazu aber mit genügend Ressourcen und Kapazitäten ausgestattet werden muss", sagt Kreißl auf Anfrage von heise online. Hier müsse das BSI in der Fläche noch aufgestockt werden, fordert der für Cybersicherheit zuständige Manager des ZVEI.

In der Datenbank Redis haben die Entwickler mit einer aktualisierten Softwareversion vier Sicherheitslücken geschlossen. Eine davon erreicht mit einem CVSS-Wert von 10 die maximale Risikobewertung. IT-Verantwortliche sollten ihre Installationen umgehend auf den neuen Stand bringen.

In den Release-Notizen zur Version 8.2.2 nennt das Redis-Projekt die vier Schwachstellen. Angemeldete Nutzer können mit speziell präparierten LUA-Scripten den Garbage Collector manipulieren, eine Use-after-Free-Situation provozieren und so Schadcode aus dem Netz zur Ausführung bringen (CVE-2025-49844 / EUVD-2025-32326, CVSS 10, Risiko "kritisch"). Außerdem können solche LUA-Scripte einein Integer-Überlauf provozieren, was ebenfalls die Ausführung von aus dem Internet eingeschleustem Code erlaubt (CVE-2025-46817 / EUVD-2025-32363, CVSS 7.0, Risiko "hoch").

Die weiteren Lücken sind weniger gravierend. Präparierte LUA-Skripte können außerhalb vorgesehener Speicherbereiche lesend zugreifen oder den Server zum Absturz bringen und so einen Denial of Service verursachen (CVE-2025-46819 / EUVD-2025-32327, CVSS 6.3, Risiko "mittel"). Außerdem können LUA-Skripte andere LUA-Objekte manipulieren und so ihren eigenen Code im Kontext anderer Nutzer ausführen (CVE-2025-46818 / EUVD-2025-32328, CVSS 6, Risiko "mittel").

Die IT-Sicherheitsforscher von Wiz haben zudem eine detaillierte Analyse der gravierendsten Lücken verfügbar gemacht. Da mindestens eine der Schwachstellen als kritisch gilt, sollten Admins umgehend ihre Redis-Instanzen auf den nun aktuellen Stand 8.2.2 oder neuer bringen. Die quelloffene Software steht in aktueller Fassung im Quelltext auf Github bereit.

Die Linux-Distributionen sollten in Kürze aktualisierte Pakete bereitstellen, sodass die Softwareverwaltung der eingesetzten Distribution die Updates ausliefern kann. [Link auf https://access.redhat.com/security/cve/cve-2025-49844]Redhat empfiehlt mangels aktualisiertem Paket derzeit beispielsweise, den Zugriff auf den Server auf vertrauenswürdige Maschinen zu beschränken. Etwa auf der Pwn2Own-Veranstaltung in Berlin hatten die IT-Sicherheitsforscher Sicherheitslücken in Redis ausgemacht und vorgeführt.

Von großen Datenabflüssen im Zusammenhang mit KI liest man aktuell ständig. Doch dieser ist anders; keine Prompt Injection, kein Jailbreak, sondern sträflich vernachlässigte Security-Basics bei der Infrastruktur eines KI-Betreibers – zumindest, wenn man den uns vorliegenden Informationen Glauben schenken darf. Und dafür spricht einiges.

Einmal im Monat veröffentlicht Google eine neue Version des System-Updates für Android. Die Aktualisierung bringt neue Funktionen auf Smartphones und weitere Produkte des Google-Ökosystems wie Tablets, Uhren, Smart-TVs, Android Auto und Chromebooks, ohne dass ein regelrechtes Android-Update vonseiten der Gerätehersteller erforderlich ist.

Sie werden über die Play-Dienste, den Play-Store und Play-System-Updates auf genannte Gerätekategorien direkt von Google verteilt. Einige Funktionen richten sich an Endnutzer, andere an Entwickler. Laut den Versionshinweisen für das Oktober-Update bringt die am 6. Oktober veröffentlichte Version 25.39 der Google-Play-Dienste Neues für die Kontoverwaltung sowie Sicherheitsfunktionen.

Die neue Play-Dienste-Version erweitert außerdem die optionale Funktion "Warnungen zu sensiblen Inhalten" in der Google-Nachrichten-App auf Geräten mit Android 9 und neuer. Bislang konnte die App nur Fotos auf Nacktheit scannen und eine entsprechende Warnung ausspielen. Nun kann Google Messages auch explizite Nacktbilder in geteilten Videos erkennen. Google betont, dass keine Inhalte hochgeladen würden; die notwendige Bilderkennung erfolgt laut Google ausschließlich auf dem jeweiligen Gerät selbst über den Dienst "Android System SafetyCore".

Die seit August verfügbare Nacktscan-Option in Google Messages ist um Videos erweitert worden.

(Bild: heise medien)

Eigentlich unscheinbare Grafiken im Format SVG (Scalable Vector Graphics) dienen bösartigen Akteuren als Einfallstor für Schadsoftware. Die kommen etwa als E-Mail-Anhang an Phishing-Mails auf den Rechner. Microsoft schließt die potenzielle Lücke, indem das Unternehmen Outlook und Outlook for Web nun einfach keine SVG-Grafiken mehr anzeigen lässt.

Das hat Microsoft im MS365-Admin-Center bekannt gegeben. Der weltweite Roll-out dieser Änderung soll bereits Anfang September gestartet und Mitte des Monats beendet worden sein. Für "GCC, GCC-H, DoD, Gallatin" soll die Verteilung Mitte Oktober abschließen. "Inline-SVG-Bilder werden von Outlook for Web und dem neuen Outlook für Windows nicht länger angezeigt. Stattdessen bekommen Nutzerinnen und Nutzer einen leeren Platz zu Gesicht, wo diese Bilder angezeigt werden sollten", erklärt Microsoft.

Das betreffe lediglich weniger als 0,1 Prozent aller Bilder, die in Outlook genutzt würden, daher sollen die Auswirkungen minimal sein. Als klassisch als Anhänge gesendete SVG-Bilder werden hingegen weiter unterstützt und lassen sich als Anhang anzeigen. Diese Änderung soll mögliche Sicherheitsrisiken wie Cross-Site-Scripting-Angriffe abwehren. Admins müssen nichts machen, Microsoft empfiehlt jedoch, die interne Dokumentation um diese Information zu ergänzen sowie Nutzer zu informieren, die auf Inline-SVG-Grafiken in E-Mails setzen.

Mitte des Jahres hatte das österreichische CERT eine Warnung vor bösartigen SVG-Dateien herausgegeben. SVG-Dateien bestehen aus Beschreibungen im XML-Format, können jedoch auch JavaScript-Code enthalten, den die anzeigende Komponente ausführt. Das können Phisher etwa missbrauchen, um Empfänger auf gefälschte Anmeldeseiten zu leiten, direkt falsche Anmeldungen anzuzeigen oder gar Schadsoftware zu installieren.

Das zu Google gehörende Virustotal hat zudem kürzlich eine kolumbianische Malware-Kampagne basierend auf bösartigen SVGs entdeckt. Von Anfang August bis Anfang September seien bei dem Malware-Prüfdienst mehr als 140.000 einzigartige SVG-Dateien eingegangen, von denen 1442 von mindestens einer Antivirensoftware als bösartig erkannt wurden, mithin grob ein Prozent der geprüften Dateien. Allerdings waren unter den 140.000 Bildern auch bösartige SVG-Dateien, die von keinem Malware-Scanner identifiziert wurden. Mit einer KI-Erweiterung "Code Insight" hat Virustotal 44 weitere bösartige SVGs aus dem Fundus gefischt. Diese nutzten Techniken zur Code-Verschleierung, Polymorphismus, sodass jede Datei leichte Änderungen aufwies, sowie große Mengen an nutzlosem Dummy-Code, um statische Erkennung zu erschweren. Bei genauerer Untersuchung entpuppten sich mehrere Dateien als Teil einer Kampagne, deren Mails vorgeben, von der kolumbianischen Generalstaatsanwältin zu stammen. Eine einfache Suche nach Textstellen aus den bösartigen SVGs lieferte 523 weitere Treffer in den vergangenen 365 Tagen.

Zwei Jahre nach der Erweiterung des Bug-Bounty-Programms um KI-Produkte führt nun Google ein eigenes Belohnungsprogramm ein, das speziell darauf ausgerichtet ist, Fehler in KI-Produkten zu finden. Besonders gefährliche Exploits können den Findern bis zu 30.000 Dollar einbringen.

Wie Google in seiner Ankündigung zum neuen KI-Bug-Bounty-Programm schreibt, war die Integration von KI-Themen in das "Abuse Vulnerability Reward Program" (VRP) "ein großer Erfolg für die Zusammenarbeit von Google mit KI-Forschern". Die am "VRP" beteiligten Forscher hätten "einige großartige Entdeckungen gemacht". Externe Forscher hätten für ihre Entdeckungen seit Beginn des KI-Programms über 430.000 US-Dollar an Prämien eingesammelt.

Mit dem am Montag eingeführten KI-Bug-Bounty-Programm hat Google die Anforderungen klarer formuliert: So genüge es nicht, die KI einfach halluzinieren oder Gemini dumm aussehen zu lassen. Die Liste der seitens Google qualifizierten Fehler umfasst etwa Prompt-Injektionen, die für die Angegriffenen unsichtbar sind und den Status des Kontos des Opfers oder eines der verbundenen Produkte verändern.

Zu weiteren unzulässigen Aktionen gehören etwa die Änderung des Kontos oder der Daten einer Person, um deren Sicherheit zu beeinträchtigen oder etwas Unerwünschtes zu tun; beispielsweise, wenn ein Angreifer mithilfe eines manipulierten Google-Kalender-Eintrags intelligente Rollläden öffnet und das Licht ein- oder ausschaltet.

Google bietet Forschern, denen es gelingt, folgenschwere Sicherheitslücken aufzudecken, bis zu 20.000 US-Dollar für gut gemachte Fehlerberichte. Dazu müssen diese die Flaggschiff-KI-Produkte des Unternehmens betreffen, also die Suche, die Gemini-App oder wichtige Workspace-Apps wie Gmail und Drive.

Ein Konglomerat von kriminellen Cybergangs hat eine Leaksite im Darknet veröffentlicht. Dort erpresst es 39 namhafte Unternehmen und droht, aus Salesforce-Systemen kopierte Daten zu veröffentlichen, sollten die Unternehmen kein Lösegeld aushandeln. Zudem droht die Erpressergruppe damit, mit Anwaltskanzleien zusammenzuarbeiten, die zivil- und wirtschaftsrechtliche Ansprüche gegen die Opfer geltend machen sollen.

Auf der Liste der Unternehmen finden sich unter anderem Adidas, ASICS, Cartier, Chanel, Cisco, Disney/Hulu, FedEx, Fujifilm, Google Adsense, HBO Max, Home Depot, IKEA, KFC, Marriott, McDonalds, Puma, Toyota, Stellantis und UPS, aber auch einige Fluglinien sind darunter. Die kriminellen Gruppen arbeiten offenbar unter der Federführung von ShinyHunters zusammen, die Leaksite nennt noch die Cybergang-Namen "Scattered Laspsu$ Hunters", was neben ShinyHunters auf die Cyberbanden Scattered Spider und Lapsus$ hinweist. Google führt sie unter dem Kürzel UNC6040.

Die einzelnen Einträge zu den Opfern listen auf, welche sensiblen Daten entwendet wurden. Außerdem findet sich dort jeweils ein Beispieldatensatz. Als Frist für die Aufnahme von Verhandlungen haben die Kriminellen Freitag, den 10. Oktober, gesetzt. Ein übergeordneter Eintrag – der vierzigste – wendet sich direkt an Salesforce. Die insgesamt rund eine Milliarde Einträge würden die Täter nicht veröffentlichen, sollte das Unternehmen die Cybergangs kontaktieren und Verhandlungen aufnehmen. Dann müssten auch die einzelnen erpressten Unternehmen nicht mehr zahlen.

Bereits im Juni hat Google von der kriminellen Gruppe UNC6040 berichtet, die die Google Threat Intelligence Group (GTIG) beobachtet hat. Die kriminelle Vereinigung greift Unternehmen mit Voice-Phishing-Anrufen an und versucht dabei Zugang zu deren Salesforce-Umgebungen zu erlangen. Im Anschluss stiehlt sie dort Daten und erpresst die Unternehmen damit.

Die Angreifer geben sich bei den betrügerischen Telefonanrufen als IT-Support aus und versuchen, Mitarbeiter mittels Social Engineering zu überzeugen, ihnen Zugriff zu gewähren oder sensible Zugangsdaten zu überlassen. In den beobachteten Fällen haben die Angreifer stets die Endnutzer manipuliert, es kam zu keinem Missbrauch von eventuellen Sicherheitslücken in Salesforce. Im Visier stehen demnach meist Mitarbeiter englischsprachiger Zweige von multinationalen Unternehmen.

Der Messenger Signal hat ein neues Schlüsselaustauschprotokoll für seinen Kommunikationsdienst vorgestellt. "SPQR" soll Nachrichten auch vor Angreifern mit Quantencomputern schützen und ergänzt das von Signal etablierte Double-Ratchet-Verfahren um eine dritte Komponente, weshalb die Entwickler nun von "Triple Ratchet" sprechen.

SPQR steht nicht für den Senat und das Volk von Rom, sondern für "Sparse Post-Quantum Ratchet". Als Post-Quanten-Verfahren bezeichnet man kryptografische Protokolle, die herkömmliche Computer ausführen können, die aber – nach aktuellem Stand der Wissenschaft – auch von Quantencomputern nicht zu knacken sind. Aktuell gibt es zwar keine Quantencomputer, die ansatzweise das Potenzial hätten, übliche Verschlüsselungs- und Signaturverfahren zu attackieren. Aber man fürchtet sich von "Harvest now, decrypt later"-Angriffen. Verschlüsselte Daten könnten heutzutage mitgeschnitten werden, um sie in Zukunft, wenn (und falls) Quantencomputer zur Verfügung stehen, zu entschlüsseln.

Signal nutzt schon seit Längerem das Post-Quanten-Protokoll PQXDH (Post-Quantum Extended Diffie-Hellman), doch dieses dient nur dem initialen Schlüsselaustausch beim Start einer Konversation. SPQR erzeugt dagegen neue Schlüssel in laufender Kommunikation, ähnlich den beiden existierenden "Ratchets", die jedoch nicht sicher vor Quantencomputern sind.

Diese "Ratschen" sind Komponenten des Protokolls, die sich sinnbildlich nur in eine Richtung drehen lassen: Chatteilnehmer können damit laufend neue Schlüssel erzeugen, aus denen sich jedoch keine Rückschlüsse auf ältere Schlüssel ziehen lassen. Dadurch können Angreifer in der Vergangenheit aufgezeichnetes Chiffrat nicht entschlüsseln, selbst wenn sie einen (oder beide) Chatpartner kompromittieren und die aktuellen geheimen Schlüssel erbeuten; eine Eigenschaft, die man "Forward Secrecy" nennt.

Die Laufzeitumgebung für die Spiele-Engine Unity steckt in diversen populären Spielen. Microsoft meldet nun eine schwerwiegende Sicherheitslücke darin, die Angreifern das Ausführen von Schadcode erlaubt. Bis zur Verfügbarkeit von Updates sollen Nutzerinnen und Nutzer betroffene Software deinstallieren, rät der Hersteller.

Microsoft beschreibt die Schwachstelle als "nicht vertrauenswürdigen Suchpfad", was sich mit der Beschreibung des Herstellers Unity zwar deckt, jedoch laut Fehlerbericht des Schwachstellenentdeckers mit dem Handle RyotaK zu kurz greift. Die Unity-Laufzeitumgebung nutzt demnach Intents zur Kommunikation zwischen Komponenten von Apps, und das anscheinend nicht nur unter Android. Angreifer können bösartige Intents nutzen, um Kommandozeilen-Parameter zu kontrollieren, die an Unity-Apps durchgereicht werden. Dadurch können sie beispielsweise beliebige Bibliotheken laden und Schadcode ausführen. Bösartige Apps auf demselben Gerät wie die Unity-Apps können dadurch die Rechte davon erlangen. Dies sei in manchen Fällen sogar aus dem Internet ausnutzbar (CVE-2025-59489 / EUVD-2025-32292, CVSS 8.4, Risko "hoch").

Betroffen sind Apps und Spiele, die mit dem Unity Gaming Engine Editor in Version 2017.1 oder neuer erstellt wurden. Allerdings nicht auf allen Plattformen: Während Nutzerinnen und Nutzer unter Android, Linux, macOS und Windows aktiv werden müssen, können sich jene mit Hololens, iOS, Xbox-Cloud-Gaming und XBox-Konsolen entspannt zurücklehnen; letztere sind nicht anfällig.

Exploit-Code ist laut Microsoft verfügbar. Daher sollten potenziell betroffene Nutzer aktiv werden. Wer verwundbare Microsoft-Apps oder -Spiele einsetzt, sollte diese bis zur Verfügbarkeit eines Updates deinstallieren, empfiehlt der Hersteller. Der arbeitet an Aktualisierungen, nennt jedoch kein geplantes Datum für deren Verfügbarkeit. Entwickler sollen die korrigierte Software von Unity installieren und Updates für ihre Apps oder Spiele so schnell wie möglich veröffentlichen. Neben Spielen sind von Microsoft auch "Mesh PC"-Programme betroffen. Die Version 5.2513.3.0 oder neuer stopft die Sicherheitslücken und soll bereits bei aktiviertem Auto-Update auf betroffenen Maschinen angekommen sein.

Microsoft listet folgende Apps und Spiele als verwundbar auf:

Gut zwei Wochen nach einem Cyberangriff auf einen IT-Dienstleister am Hauptstadtflughafen BER ist der Schaden am elektronischen System der Passagierabfertigung behoben. "Das zentrale System des Dienstleisters Collins Aerospace ist seit Sonntagmorgen wieder am Netz", sagte eine BER-Sprecherin auf eine Anfrage der Deutschen Presse-Agentur.

IT-Fachleute der Flughafengesellschaft hätten am Wochenende damit begonnen, umfangreiche Sicherheitstests durchzuführen. Diese seien bislang erfolgreich verlaufen. "Ab Montag erfolgt die schrittweise Wiederanbindung der Fluggesellschaften an das System", so die Sprecherin.

Die Check-in-Schalter und Boarding-Gates werden dann schrittweise nach einem abgestimmten Wiederinbetriebnahme-Plan angeschlossen. Dann dürfte sich auch die Lage für Reisende normalisieren, die zuletzt längere Wartezeiten bei Check-in, Boarding und in der Gepäckausgabe hinnehmen mussten.

Der Flughafen-Dienstleister war am 19. September Opfer des Cyberangriffs geworden. Betroffen waren mehrere Airports in Europa. Der Hackerangriff legte am BER elektronische Systeme lahm, die für die Passagier- und Gepäckabfertigung genutzt werden.

Betroffen waren nicht zuletzt die Check-in-Schalter. Die Airlines behalfen sich seither damit, das Einchecken der Passagiere zum Teil per Hand zu erledigen, zum Teil mit externer Technik. Alternativ konnten und können Reisende die Self-Service-Stationen mit Automaten im Flughafen nutzen und oft auch selbst Gepäck an Automaten aufgeben.

Stimmen die Voraussetzungen, können Angreifer Dell PowerProtect Data Domain attackieren und Systeme als Root kompromittieren. Sicherheitspatches stehen zum Download bereit.

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler unzählige Schwachstellen in der Anwendung selbst, aber auch in Komponenten wie Bind, FreeType und OpenSSL geschlossen. Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem unbefugt auf Systeme zugreifen (etwa CVE-2025-43914 "hoch") oder sogar Schadcode ausführen.

Verfügt ein Angreifer bereits über hohe Nutzerrechte, kann er sich zum Root-Nutzer hochstufen (CVE-2025-43890 "mittel") und so PCs vollständig kompromittieren. Ob Angreifer bereits Computer attackieren, ist bislang nicht bekannt. Admins sollten sicherstellen, dass eine der gegen die geschilderten Attacken gerüstete Dell PowerProtect-Data-Domain-Version installiert ist:

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Ein Support-Dienstleister für die Messaging- und Social-Media-Plattform Discord ist Opfer eines Cyberangriffs geworden. Dabei sollen Kriminelle auf Kundendaten zugegriffen haben und diese als Druckmittel für eine Erpressung einsetzen.

In einer Stellungnahme weisen die Discord-Betreiber auf die Attacken hin. Sie versichern, dass davon ausschließlich Kunden betroffen seien, die in Kontakt mit dem Support waren. Demzufolge hätten die Angreifer auch nur auf diesen Kontext betreffende Nutzerdaten Zugriff gehabt. Sie versichern, dass Discord direkt nicht betroffen war. Demzufolge konnten die Angreifer keine Chatnachrichten einsehen.

Die Betreiber stellen klar, den IT-Sicherheitsvorfall mittlerweile im Griff zu haben und betroffene Nutzer zu kontaktieren. Wie viele Opfer konkret betroffen sind, ist derzeit nicht bekannt. Die Verantwortlichen geben an, dass die Angreifer unter anderem Ausweisnummern, IP-Adressen, Nachrichten an den Support und Zahlungsinformationen kopieren konnten. Darunter sollen sich aber keine vollständigen Kreditkartennummern und Passwörter befinden.

Sicherheitsforscher legen nahe, dass die erbeuteten Daten weitreichende Folgen haben können. Schließlich können die Angreifer daraus vergleichsweise überzeugend Phishing-Mails für etwa Kryptowährungsbetrug stricken. Demzufolge sollten Discord-Nutzer E-Mails ab sofort noch kritischer beäugen und nicht auf Links in Mails klicken oder sogar Dateianhänge öffnen. Die Angreifer geben an, den Support-Dienstleister Zendesk attackiert zu haben. Das wurde aber von offizieller Seite bislang nicht bestätigt.

Hinter den Attacken sollen die Cyberkriminellen von Scattered Lapsus$ Hunters stecken. Die wollen sich eigenen Angaben zufolge eigentlich aus dem Cybercrimegeschäft zurückziehen. In der Vergangenheit haben sie unter anderem Jaguar und Marks & Spencer erfolgreich attackiert und Schäden in Millionenhöhe verursacht.