Comretix Blog

Google will seinen Safe-Browsing-Ansatz zum sichereren Abruf von Websites und Downloads verbessern. Dabei soll die Analyse von Bedrohungen aus dem Internet nun auf KI-Basis mittels Large Language Model (LLM) Nutzer noch effektiver warnen.

Anzeige

Die Ende vergangenen Jahres bekannt gewordene Erweiterung des Schutzes ist inzwischen live. Wer das Sicherheitsfeature im Webbrowser nutzen möchte, muss es aber manuell aktivieren.

Der Safe-Browsing-Ansatz analysiert unter anderem betrügerische Websites und warnt Nutzer vor dem Besuch, dass Cyberkriminelle auf solchen Seiten persönliche Daten kopieren können. Google gibt an, dass die KI-basierte Variante unter anderem die Erkennungsrate verbessern soll.

Unter macOS konnten wir den neuen KI-Schutz mit Chrome 133.0.6943.99 aktivieren.

Mittels Mobile Device Management (MDM) können Administratoren Apple-Geräte weitgehend einrichten und steuern. Darunter fallen auch eine Reihe von Funktionen, die eigentlich der Sicherheit dienen, wie sich Apples MDM-Doku entnehmen lässt. Dennoch sollten sich IT-Abteilungen und andere MDM-Verantwortliche genau überlegen, ob sie entsprechende Einstellungen vornehmen. Eine besonders wichtige ist der sogenannte USB-Restricted-Mode. Denn auch dieser kann von Admins auf Wunsch mittels MDM-Einstellungen abgeschaltet werden.

Anzeige

Eigentlich fragen sowohl der Mac als auch ein iPhone oder ein iPad nach, wenn ein USB-C-Gerät eingesteckt wird. Das ist wichtig, weil es verschiedene Angriffsmethoden gibt, die kabelgebunden arbeiten. Das beginnt bei Hacking-"Spielzeugen" wie Rubber Ducky oder dem Flipper Zero und endet mit professionellen Öffnungswerkzeugen, die Polizeibehörden und Geheimdienste verwenden. Entsprechend wichtig sind diese Nachfragen, dass sie eine Geräteverbindung verhindern, über die dann Angriffe erfolgen könnten. Zwar nerven die Prompts viele User, sie dienen aber der Sicherheit.

Wie Apples Dokumentation zu entnehmen ist, dürfen Admins auf Macs nun aber das sogenannte "allowUSBRestrictedMode"-Flag setzen. Es verhindert, dass die Nachfrage überhaupt kommt. Sinn der Sache sei es, dass es in "manchen Umgebungen" notwendig sei, dies zu erlauben, so Apple. Zwar können Nutzer dies grundsätzlich selbst vornehmen, doch müssten sie sich dazu in die Tiefen der Systemeinstellungen begeben, was die wenigsten tun dürften.

Bei iPhones und iPads können Admins wiederum das sogenannte Host-Pairing kontrollieren. Auch hier sollte man äußerst vorsichtig sein. Die Restriktionseinstellung "Allow pairing with non-Apple Configurator hosts" macht es möglich, das Gerät mit potenziell problematischen anderen Maschinen zu verbinden. Apple empfiehlt, dies zu verbieten, damit sichergestellt ist, dass sich ein Firmengerät nicht mit problematischen anderen Geräten verbindet.

Mittels Mobile Device Management (MDM) können Administratoren Apple-Geräte weitgehend einrichten und steuern. Darunter fallen auch eine Reihe von Funktionen, die eigentlich der Sicherheit dienen, wie sich Apples MDM-Doku entnehmen lässt. Dennoch sollten sich IT-Abteilungen und andere MDM-Verantwortliche genau überlegen, ob sie entsprechende Einstellungen vornehmen. Eine besonders wichtige ist der sogenannte USB-Restricted-Mode. Denn auch dieser kann von Admins auf Wunsch mittels MDM-Einstellungen abgeschaltet werden.

Anzeige

Eigentlich fragen sowohl der Mac als auch ein iPhone oder ein iPad nach, wenn ein USB-C-Gerät eingesteckt wird. Das ist wichtig, weil es verschiedene Angriffsmethoden gibt, die kabelgebunden arbeiten. Das beginnt bei Hacking-"Spielzeugen" wie Rubber Ducky oder dem Flipper Zero und endet mit professionellen Öffnungswerkzeugen, die Polizeibehörden und Geheimdienste verwenden. Entsprechend wichtig sind diese Nachfragen, dass sie eine Geräteverbindung verhindern, über die dann Angriffe erfolgen könnten. Zwar nerven die Prompts viele User, sie dienen aber der Sicherheit.

Wie Apples Dokumentation zu entnehmen ist, dürfen Admins auf Macs nun aber das sogenannte "allowUSBRestrictedMode"-Flag setzen. Es verhindert, dass die Nachfrage überhaupt kommt. Sinn der Sache sei es, dass es in "manchen Umgebungen" notwendig sei, dies zu erlauben, so Apple. Zwar können Nutzer dies grundsätzlich selbst vornehmen, doch müssten sie sich dazu in die Tiefen der Systemeinstellungen begeben, was die wenigsten tun dürften.

Bei iPhones und iPads können Admins wiederum das sogenannte Host-Pairing kontrollieren. Auch hier sollte man äußerst vorsichtig sein. Die Restriktionseinstellung "Allow pairing with non-Apple Configurator hosts" macht es möglich, das Gerät mit potenziell problematischen anderen Maschinen zu verbinden. Apple empfiehlt, dies zu verbieten, damit sichergestellt ist, dass sich ein Firmengerät nicht mit problematischen anderen Geräten verbindet.

Zahlreiche HP-Laserdrucker sind von Schwachstellen betroffen, durch die Angreifer Schadcode einschleusen und ausführen können. Der Hersteller stellt aktualisierte Firmware zum Schließen der Sicherheitslücken bereit. IT-Verantwortliche sollten sie rasch installieren.

Anzeige

In einer Sicherheitsmitteilung warnt HP vor den Sicherheitslücken. Bei den Details gibt sich HP zugeknöpft: "Bestimmte HP Laserjet Pro-, Laserjet Enterprise- und HP Laserjet Managed-Drucker könnten möglicherweise anfällig für Codeschmuggel aus dem Netz und die Ausweitung der Rechte beim Verarbeiten eines Postscript-Druckauftrags sein", lautet die beschwichtigende Zusammenfassung. Weitere Details sind jedoch Fehlanzeige.

Insgesamt handelt es sich um ein Bündel von drei Sicherheitslücken, die sich die Beschreibung teilen. CVE-2025-26506 erhält die CVSS-Bewertung 9.2 und stellt somit ein kritisches Risiko dar, CVE-2025-26508 gilt hingegen mit CVSS 8.3 als hoher Bedrohungsgrad. Die dritte Schwachstelle CVE-2025-26507 bewerten die Entwickler mit CVSS 6.3 als mittleres Risiko.

Die Anzahl der betroffenen Druckermodelle geht in die Hunderte, allein die Auflistung der teils zusammengefassten Baureihen addiert sich auf 120 Geräte-Serien. Sie alle aufzulisten, würde den Rahmen der Meldung sprengen, daher sei auf die Auflistung in der Sicherheitsmitteilung verwiesen. Admins sollten nachsehen, ob verwundbare Modelle in ihren Netzen arbeiten und die bereitstehenden Firmware-Updates zeitnah herunterladen und installieren.

Zahlreiche HP-Laserdrucker sind von Schwachstellen betroffen, durch die Angreifer Schadcode einschleusen und ausführen können. Der Hersteller stellt aktualisierte Firmware zum Schließen der Sicherheitslücken bereit. IT-Verantwortliche sollten sie rasch installieren.

Anzeige

In einer Sicherheitsmitteilung warnt HP vor den Sicherheitslücken. Bei den Details gibt sich HP zugeknöpft: "Bestimmte HP Laserjet Pro-, Laserjet Enterprise- und HP Laserjet Managed-Drucker könnten möglicherweise anfällig für Codeschmuggel aus dem Netz und die Ausweitung der Rechte beim Verarbeiten eines Postscript-Druckauftrags sein", lautet die beschwichtigende Zusammenfassung. Weitere Details sind jedoch Fehlanzeige.

Insgesamt handelt es sich um ein Bündel von drei Sicherheitslücken, die sich die Beschreibung teilen. CVE-2025-26506 erhält die CVSS-Bewertung 9.2 und stellt somit ein kritisches Risiko dar, CVE-2025-26508 gilt hingegen mit CVSS 8.3 als hoher Bedrohungsgrad. Die dritte Schwachstelle CVE-2025-26507 bewerten die Entwickler mit CVSS 6.3 als mittleres Risiko.

Die Anzahl der betroffenen Druckermodelle geht in die Hunderte, allein die Auflistung der teils zusammengefassten Baureihen addiert sich auf 120 Geräte-Serien. Sie alle aufzulisten, würde den Rahmen der Meldung sprengen, daher sei auf die Auflistung in der Sicherheitsmitteilung verwiesen. Admins sollten nachsehen, ob verwundbare Modelle in ihren Netzen arbeiten und die bereitstehenden Firmware-Updates zeitnah herunterladen und installieren.

In mehreren Produkten werden Angriffe auf Sicherheitslücken beobachtet. Betroffen sind Apples iOS, iPadOS, Mitels SIP-Phones und Palo Altos PAN-OS. Zum Schließen der Lücken stehen Updates bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt etwa vor Cyber-Attacken auf Schwachstellen in iOS und iPadOS (CVE-2025-24200). Angreifer mit physischem Zugriff können sich Zugriff verschaffen, indem sie die Lücke im Accessibility-Modul für Barrierefreiheit zum Aufheben des eingeschränkten USB-Zugriffs missbrauchen – die Lücke hat Apple in der vergangenen Woche mit iOS und iPadOS 18.3.1 sowie 17.7.5 gestopft.

Ende Januar wurden zudem Angriffe auf eine Sicherheitslücke in SIP-Phones von Mitel bekannt. Das Mirai-Botnet nistet sich in verwundbare Geräte ein. Die Lücke CVE-2024-41710 wurde bereits im August 2024 bekannt, vor der nun auch die CISA warnt, Admins sollten die Aktualisierungen nun rasch nachholen. Bei beiden angegriffenen Lücken nennt die CISA wie üblich keine Details, die wurden aber dieses Mal auf anderen Wegen zuvor bekannt.

Gegen Ende der vergangenen Woche wurden zudem Schwachstellen in Palo Altos Firewall-Betriebssystem PAN-OS bekannt. Für die gravierendste Sicherheitslücke CVE-2025-0108 stand bereits Exploit-Code zur Verfügung.

In mehreren Produkten werden Angriffe auf Sicherheitslücken beobachtet. Betroffen sind Apples iOS, iPadOS, Mitels SIP-Phones und Palo Altos PAN-OS. Zum Schließen der Lücken stehen Updates bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt etwa vor Cyber-Attacken auf Schwachstellen in iOS und iPadOS (CVE-2025-24200). Angreifer mit physischem Zugriff können sich Zugriff verschaffen, indem sie die Lücke im Accessibility-Modul für Barrierefreiheit zum Aufheben des eingeschränkten USB-Zugriffs missbrauchen – die Lücke hat Apple in der vergangenen Woche mit iOS und iPadOS 18.3.1 sowie 17.7.5 gestopft.

Ende Januar wurden zudem Angriffe auf eine Sicherheitslücke in SIP-Phones von Mitel bekannt. Das Mirai-Botnet nistet sich in verwundbare Geräte ein. Die Lücke CVE-2024-41710 wurde bereits im August 2024 bekannt, vor der nun auch die CISA warnt, Admins sollten die Aktualisierungen nun rasch nachholen. Bei beiden angegriffenen Lücken nennt die CISA wie üblich keine Details, die wurden aber dieses Mal auf anderen Wegen zuvor bekannt.

Gegen Ende der vergangenen Woche wurden zudem Schwachstellen in Palo Altos Firewall-Betriebssystem PAN-OS bekannt. Für die gravierendste Sicherheitslücke CVE-2025-0108 stand bereits Exploit-Code zur Verfügung.

Die Staatsregierung in Bayern ist Ziel eines Cyberangriffs geworden. Man gehe mit hoher Sicherheit davon aus, dass die Attacke im Zusammenhang mit "prorussischem Hacktivismus" stehe, teilte das Landesamt für Sicherheit in der Informationstechnik am Sonntagabend auf Nachfrage mit.

Anzeige

Betroffen gewesen seien am Freitag die Staatskanzlei und das Staatsministerium für Digitales. Es sei aber kein Schaden entstanden und es seien auch keine Daten oder Informationen abgeflossen oder verschlüsselt worden. Die betroffenen Webseiten seien lediglich vorübergehend nicht erreichbar gewesen.

Vom Landeskriminalamt in Bayern hieß es, es könnte nicht beurteilt werden, ob der Angriff im Zusammenhang mit der Münchner Sicherheitskonferenz gestanden habe. Die Ermittlungen liefen. Der Bayerische Rundfunk hatte zuvor über den Angriff berichtet.

Das Landesamt für Sicherheit in der Informationstechnik erklärte, es habe sich um einen Distributed Denial-of-Service-Angriff (DDoS) gehandelt. Der Vorgang werde nach abgeschlossener Analyse zur Strafverfolgung an die Polizei übergeben.

Die Staatsregierung in Bayern ist Ziel eines Cyberangriffs geworden. Man gehe mit hoher Sicherheit davon aus, dass die Attacke im Zusammenhang mit "prorussischem Hacktivismus" stehe, teilte das Landesamt für Sicherheit in der Informationstechnik am Sonntagabend auf Nachfrage mit.

Anzeige

Betroffen gewesen seien am Freitag die Staatskanzlei und das Staatsministerium für Digitales. Es sei aber kein Schaden entstanden und es seien auch keine Daten oder Informationen abgeflossen oder verschlüsselt worden. Die betroffenen Webseiten seien lediglich vorübergehend nicht erreichbar gewesen.

Vom Landeskriminalamt in Bayern hieß es, es könnte nicht beurteilt werden, ob der Angriff im Zusammenhang mit der Münchner Sicherheitskonferenz gestanden habe. Die Ermittlungen liefen. Der Bayerische Rundfunk hatte zuvor über den Angriff berichtet.

Das Landesamt für Sicherheit in der Informationstechnik erklärte, es habe sich um einen Distributed Denial-of-Service-Angriff (DDoS) gehandelt. Der Vorgang werde nach abgeschlossener Analyse zur Strafverfolgung an die Polizei übergeben.

Die südkoreanische Regierung hat die Benutzung der chinesischen KI-Anwendung DeepSeek verboten. Sie begründet den Schritt mit einem unzureichenden Datenschutz. Das berichtet die Nachrichtenagentur Yonhap unter Berufung auf die Kommission für den Schutz personenbezogener Daten (PIPC). Das am Wochenende verhängte Verbot werde erst aufgehoben, wenn "Verbesserungen und Abhilfemaßnahmen" umgesetzt werden, die dafür sorgen, dass Südkoreas Datenschutzgesetzen entsprochen werde. Vorher hätten schon mehrere Ministerien und Regierungsbehörden den Zugriff auf die KI-Anwendung gesperrt und das mit der Datensammlung begründet.

Anzeige

Südkorea ist mit den Bedenken nicht allein. Derart weitgehende Konsequenzen wurden aber bislang lediglich in Italien gezogen. Auch in Deutschland haben Behörden und IT-Sicherheitsfachleute aber gravierende Sicherheitsbedenken gegen DeepSeek angemeldet. Kritisiert wird auch hierzulande die offenkundig sehr weitreichende Speicherung von Nutzerdaten. Aber auch die mögliche Manipulierbarkeit der Anwendung für kriminelle Zwecke und die Frage, inwieweit der chinesische Spionage- und Überwachungsapparat Zugriff auf Nutzerdaten hat, treffen auf Vorbehalte. In Deutschland wird deshalb unter anderem in Rheinland-Pfalz ein Prüfverfahren vorbereitet, DeepSeek hat bislang keinen EU-Vertreter benannt.

Laut Yonhap hat Südkoreas Datenschutzkommission bereits im Januar eine Anfrage an DeepSeek übermittelt, um Klarheit über die Sammlung und Speicherung von Daten zu erhalten. Hierzulande hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) darauf hingewiesen, dass DeepSeek nach eigenen Angaben "Tastatureingabemuster oder -rhythmen" erfasst. Damit sollen Nutzer und Nutzerinnen identifiziert werden können. Womöglich lassen sich Tastatureingaben aber innerhalb der App mitlesen, noch bevor sie abgeschickt werden. Zwar handle es sich nicht um einen Keylogger, trotzdem sei das Verhalten "mindestens für sicherheitskritische Bereiche bedenklich".

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Offensichtlich kam es bei Zacks erneut zu einem IT-Sicherheitsvorfall, bei dem Angreifer Zugriff auf Kundendaten hatten: In einem Untergrundforum wurde ein Datenpaket mit 12 Millionen Einträgen zu Zacks-Nutzern veröffentlicht. In dem Forum werden regelmäßig aus Cyberattacken stammende Datenpakete zum Verkauf angeboten.

Anzeige

Zacks ist ein Onlinetool, um unter anderem den Verlauf von Aktienkursen zu visualisieren. Über das Datenleak berichten Sicherheitsforscher von Malwarebytes. Dem Bericht zufolge soll das Datenpaket aus einer Cyberattacke im Juni 2024 stammen. Darin seien unter anderem Datenbankeinträge und Sourcecode der Zacks-Website und weiteren firmeninternen Seiten zu finden.

Weiterhin gibt es den Forschern Einträge mit persönlichen Daten von 12 Millionen Zacks-Kunden. Darunter fallen etwa E-Mail-Adressen, Namen und Telefonnummern. In den Einträgen sollen sich auch geschützte Passwörter (unsalted SHA-256-Hash) finden. Damit können Kriminelle also nicht ohne Weiteres etwas anfangen.

Als Beweis hat der Leaker mit dem Pseudonym Jurak Ausschnitte aus dem Archiv veröffentlicht. Sicherheitsforscher gehen derzeit davon aus, dass die Daten echt sind. Er gibt an, dass er sich als Domainadmin Zugriff auf das Active Directory von Zacks verschaffen konnte. Wie die Attacke ablief, ist bislang unklar. Auf der Website Have I Been Pnwed kann man prüfen, ob man von dem Datenleak betroffen ist.

Bestimmte Firewalls von Sonicwall sind verwundbar, und Angreifer nutzen derzeit eine Sicherheitslücke aktiv aus. Dabei kapern sie VPN-Verbindungen.

Anzeige

Davor warnen Sicherheitsforscher von Arctic Wolf in einem Beitrag. Die Attacken begannen kurz nach der Veröffentlichung von Proof-of-concept-Code (PoC). Die Schwachstelle (CVE-2024-53704 "hoch") ist seit Anfang 2025 bekannt. Bereits zu diesem Zeitpunkt warnte Sonicwall, dass Attacken mit hoher Wahrscheinlichkeit bevorstehen. Das hat sich nun bestätigt. Den Forschern zufolge waren Anfang Februar noch rund 4500 verwundbare Firewalls über das Internet erreichbar. Admins sollten zügig handeln.

Die Lücke betrifft die SonicOS-SSLVPN-Komponente. Weil ein Authentifizierungs-Algorithmus nicht korrekt implementiert ist, kommt es bei der Verarbeitung von Base64-Cookies zu Fehlern, und Angreifer können die Authentifizierung umgehen. Attacken sind aus der Ferne und ohne Authentifizierung möglich. Weitere technische Details zum Ablauf von Angriffen haben die Forscher in einem Bericht zusammengetragen.

Im Anschluss übernehmen Angreifer die Kontrolle über VPN-Sessions. In so einer Position können sie sich im Netzwerk ausbreiten und etwa Ransomware installieren. Welche konkreten Auswirkungen die derzeitigen Attacken haben und in welchem Umfang sie ablaufen, ist zurzeit nicht bekannt.

Im Bereich der Cybersicherheit kann Europa aus den Erfahrungen der Ukraine im Krieg gegen Russland lernen. Russlands hybrider Krieg habe das Land gezwungen, seine IT-Systeme fortlaufend besser abzusichern, sagten Vertreter ukrainischer Sicherheitsbehörden am Donnerstag auf der Münchner Cybersecurity-Konferenz (MCSC). Die Ukrainer warben auch um Europa als Partner, nachdem das Einfrieren der US-Hilfen über USAID erhebliche Lücken ins Budget der Sicherheitsprogramme gerissen hat.

Anzeige

Rund 4300 Attacken auf kritische Systeme notierte der "State Service of Special Communications and Information Protection of Ukraine" im vergangenen Jahr. "Zwölf Angriffe täglich, und es handelt sich nicht um Kleinigkeiten", berichtete Ihor Malchenyuk, Director des Cyber Defence Department der Behörde. "Für uns ist jeder Tag 'Tag Null'."

Malchenyuk versicherte, man wolle keineswegs für die Ukraine in Anspruch nehmen, "dass wir schon alles gesehen haben oder gar alles wissen". Die russischen Angreifer – Malchenyuks Behörde hat insgesamt 155 Angreifergruppen identifiziert – zwingen den Verteidigern jedoch eine extreme Reaktionsdynamik auf. Sicherheit durch Compliance habe diese neue Realität nicht überlebt.

Auch mit dem Einsatz von Large-Language-Modellen (LLM) durch die Angreifer haben die Ukrainer Erfahrung: "Sobald Hacker Zugang zu einem System erhalten, werden damit beispielsweise alle wichtigen Adressdaten herausgefiltert." So seien regelmäßig Spearphishing-Attacken auf dieser Basis zu beobachten.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Palo Alto Networks hat Sicherheitsmitteilungen zu vier Schwachstellen im Firewall-Betriebssystem PanOS veröffentlicht. Für eine hochriskante Lücke existiert bereits Exploit-Code. Angriffe sind in Kürze sehr wahrscheinlich.

Anzeige

Die Lücke mit dem höchsten Schweregrad betrifft laut Palo Altos Mitteilung eine mögliche Umgehung der Authentifizierung im Management-Web-Interface. Nicht angemeldete Angreifer mit Zugriff auf das Interface können ohne Anmeldung darauf zugreifen und bestimmte PHP-Skripte aufrufen. Das ermögliche zwar keinen Codeschmuggel, aber kann die Integrität und Vertraulichkeit von PAN-OS beeinträchtigen (CVE-2025-0108, CVSS 8.8, Risiko "hoch"). Das CERT-Bund vom BSI weist darauf hin, dass Exploit-Code verfügbar ist, der den Missbrauch der Lücke demonstriert. Den können Kriminelle leicht anpassen.

Aufgrund einer Schwachstelle Im OpenConfig-Plug-in für PAN-OS können angemeldete Administratoren Anfragen an das PAN-OS-Web-Management-Interface senden und dabei Zugriffsbeschränkungen umgehen, um beliebige Befehle auszuführen (CVE-2025-0110, CVSS 8.6, hoch). Außerdem können angemeldete Angreifer Dateien als User "nobody" lesen (CVE-2025-0111, CVSS 7.1, hoch). Weiterhin können Angreifer ohne vorherige Anmeldung bestimmte Dateien als User "nobody" löschen, etwa einige Log- und Konfigurationsdateien (CVE-2025-0109, CVSS 6.9, mittel).

Bei der Risikobewertung setzt Palo Alto derzeit den durchgängig niedrigeren "temporal Score" an, üblich ist bei anderen Anbietern der akute CVSS-Wert. Der zeigt, dass die beiden ersten Lücken eher knapp am Risiko "kritisch" vorbeischrammen und eine von Palo Alto als mittleres Risiko klassifizierte Schwachstelle tatsächlich ein hohes Risiko bedeutet.

Datenbank-Admins sollten ihre PostgreSQL-Instanzen zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Server attackieren und eigene Befehle ausführen.

Anzeige

Wie aus einem Bericht hervorgeht, sind Sicherheitsforscher im Kontext einer Sicherheitslücke (CVE-2024-12356 "kritisch") in den Fernzugriffssoftwares Privileged Remote Access (PRA) und Remote Support (RS) von BeyondTrust auf eine weitere Schwachstelle (CVE-2025-1094 "hoch") gestoßen.

Die schon länger verfügbaren Sicherheitsupdates für PRA und RS blocken das Ausnutzen beider Lücken. Doch die Forscher geben an, dass die zweite Lücke ebenfalls PostgreSQL bedroht. Das haben mittlerweile auch die PostgreSQL-Entwickler in einer Warnmeldung bestätigt.

Die Schwachstelle findet sich in mehreren libpq-Funktionen. Dabei werden Eingaben nicht ausreichend bereinigt, sodass Angreifer eigene SQL-Befehle ausführen können. Aufgrund der Einstufung des Bedrohungsgrads ist davon auszugehen, dass Angreifer darüber Systeme kompromittieren können.

Progress warnt vor Sicherheitslücken in den Entwicklertools Telerik sowie dem Load Balancer Loadmaster. In Telerik können Angreifer Daten aus der Kommunikation von Agent- und Host-Komponenten ausspähen, in Loadmaster hingegen Befehle ans Betriebssystem einschleusen.

Anzeige

Die Sicherheitsmitteilung von Progress zu Telerik beschreibt die Schwachstelle als "Klartext-Übertragung von sensiblen Informationen" (CVE-2025-0556, CVSS 8.8, Risiko "hoch"). Der Hersteller schränkt jedoch ein, dass beim Report Server bei der Nutzung ausschließlich der älteren .Net-Framework-Implementierung die Kommunikation nicht-sensibler Daten zwischen Service-Agent und App-Host über einen nicht verschlüsselten Tunnel läuft. In der Standard-Installation befinden sich beide Komponenten auf derselben Maschine. Da auch andere Installationsarten möglich sind, fließt in die Risikobewertung jedoch der Missbrauch aus dem Netz ein, was das Risiko erhöhe.

Bei der Nutzung der neueren .Net-Implementierung trete das nicht auf. Betroffen sind die Versionen von Telerik 2024 Q4 (10.3.24.1218) und frühere; die Fassung 2025 Q1 (11.0.25.211) oder neuer bessern den zugrundeliegenden Fehler aus.

In einer weiteren Sicherheitsmitteilung erörtert Progress Schwachstellen in Loadmaster sowie im Loadmaster Multi-Tenant (MT) Hypervisor. Angreifer können fünf unterschiedliche Sicherheitslecks missbrauchen, um nach Authentifizierung am Management Interface mit sorgsam präparierten HTTP-Anfragen beliebige Systembefehle einzuschleusen, die das Betriebssystem ausführt (CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135; alle CVSS 8.4, Risiko "hoch"). Eine weitere Lücke erlaubt auf diesem Weg das Herunterladen von beliebigen Dateien des Zielsystems (CVE-2024-56134, CVSS 8.4, hoch).

Der Druckerhersteller Lexmark hat Sicherheitsmitteilungen zu Schwachstellen in Drucker-Begleitsoftware und Firmware diverser Drucker-Modelle veröffentlicht. Angreifer können dadurch Schadcode einschleusen und ausführen. Aktualisierte Soft- und Firmware steht bereit. Admins sollten sie zeitnah installieren.

Anzeige

Am schwersten wiegt eine Lücke in der Begleitsoftware Lexmark Print Management Client (LPMC). Die Fehlerbeschreibung ist sehr allgemein gehalten: Eine Schwachstelle aufgrund des "Verlassens auf nicht vertrauenswürdigen Angaben in einer Sicherheitsentscheidung" (CWE-807) ermöglicht das Umgehen eines Schutzmechanismus (CVE-2025-1126, CVSS 9.3, Risiko "kritisch"). Am Ende können Angreifer Code im SYSTEM- oder Root-Kontext ausführen sowie Ordner auf dem Rechner löschen, für die eigentlich erhöhte Rechte benötigt werden. Aufgrund einer doppelten Nutzung des CVE-Eintrags CVE-2024-11348 hat Lexmark eine neue CVE-Nummer vergeben. Betroffen sind LPMC 3.0.0 bis 3.4.0, Version 3.5.0 oder neuer schließen die Sicherheitslücke.

Der eingebettete Webserver in zahlreichen Lexmark-Druckern lässt sich durch eine Kombination einer Path-Traversal-Lücke sowie gleichzeitiger Ausführung von Schadcode durch Angreifer unterjubeln (CVE-2024-11348, CVSS 9.1, kritisch). Diverse Druckermodelle sind betroffen, deren Auflistung die Meldung sprengen würde – die unten verlinkte Sicherheitsmitteilung listet sie auf.

Dasselbe gilt für die weiteren Schwachstellen im Postscript-Interpreter vieler Drucker – auch hier sollten IT-Verantwortliche, die Lexmark-Drucker einsetzen, durch die Liste der betroffenen Geräte schauen und gegebenenfalls das bereitstehende Firmware-Update anwenden. Durch den Missbrauch der Schwachstellen können Angreifer aus dem Netz Schadcode mit eingeschränkten Nutzerrechten auf den Geräten ausführen. Wie genau Angriffe aussehen würden, schreibt Lexmark jedoch nicht. Vermutlich gelingt das durch das Senden manipulierter Druckdaten.