Comretix Blog

Microsoft bringt den VPN-Dienst für Microsoft Defender jetzt auch nach Deutschland. Der Dienst soll das Surfen in unsicheren, offenen WLANs absichern, werben die Redmonder.

Anzeige

In einem Techcommunity-Beitrag schreibt ein Microsoft-Mitarbeiter, dass Microsoft Defender for Individuals, das ein Microsoft 365 Family- oder Personal-Abonnement voraussetzt, nun in mehr Ländern die VPN-Funktion erhält. Das Microsoft-VPN soll die Privatsphäre schützen, auch, wenn Benutzerinnen und Benutzer in unsicheren, offenen WLANs unterwegs sind.

In den vergangenen Monaten habe Microsoft daran gearbeitet, den Privatsphärenschutz zu vereinfachen. Eine automatische Erkennung und Benachrichtigung über unsichere WLAN-Verbindungen soll dazu beitragen. Der Hinweis soll in der Defender-App das umgehende Aktivieren der VPN-Verbindung ermöglichen.

Der Privatsphärenschutz (VPN) steht nun auf allen Geräteplattformen bereit, erklärt Microsoft, sowohl unter Android als auch in iOS, macOS und Windows. Die Funktion ist ab sofort in Deutschland, Großbritannien, Kanada und den USA verfügbar. In Kürze sollen zehn weitere Länder in Asien, Europa und Lateinamerika hinzukommen.

Das Web-Interface zahlreicher Drucker, Scanner und Netzwerk-Schnittstellen-Produkte aus dem Hause Seiko-Epson ermöglicht Angreifern, diese zu übernehmen. IT-Verantwortliche sollten den Workaround auf betroffenen Geräten umgehend umsetzen.

Anzeige

Epson warnt in einer Mitteilung vor der Sicherheitslücke. Sie betrifft das Web-Interface der verwundbaren Geräte, mit dem sich der Status einsehen oder Einstellungen ändern lassen. Auf einigen Geräten kann das Web-Interface auch "Remote Manager" heißen, erörtern die Entwickler. Sofern das Administrator-Kennwort nicht gesetzt wurde und leer ist, können Angreifer darauf zugreifen und ein eigenes Passwort vergeben. Dadurch können sie die Kontrolle über verwundbare Geräte übernehmen und sie aus der Ferne steuern (CVE-2024-47295, CVSS 8.1, Risiko "hoch").

Beim ersten Aufruf des Web-Interfaces betroffener Geräte fragt es üblicherweise an, das Admin-Passwort zu setzen. Als Gegenmaßnahme empfiehlt der Hersteller, dass IT-Verantwortliche das Web-Interface der verwundbaren Geräte aufrufen. Dort sollen sie dann einfach das Administrator-Passwort setzen, um Angreifern keine Chance zu geben, das vor ihnen zu tun.

Lässt man den Webbrowser die Mitteilung von Epson etwa auf Deutsch oder Englisch übersetzen, findet sich darin eine umfangreiche Liste von verwundbaren Geräten. Sie reicht von Tintenstrahldruckern, Laserdruckern, Nadeldruckern oder Großformatdruckern über Bon-Drucker und Scanner hin zu Netzwerk-Schnittstellen-Produkten. Andere als die gelisteten Produkte seien nicht betroffen, da diese ab Werk ein Administrator-Passwort vergeben hätten.

IT-Sicherheitsbehörden der sogenannten Five-Eyes-Staaten Australien, Großbritannien, Kanada, Neuseeland und den USA haben einen Ratgeber veröffentlicht, der Organisationen bei der Absicherung ihrer Active Directories (AD) helfen soll. Insgesamt 17 übliche Techniken, die Angreifer zum Kompromittieren von ADs einsetzen, stellen sie unter anderem auf 68 Seiten vor.

Anzeige

Das englischsprachige PDF stellt dabei die einzelnen Angriffe vor, wie bösartige Akteure sie einsetzen, und empfiehlt Strategien, diese Attacken abzuwehren. Die Umsetzung der empfohlenen Maßnahmen helfe Organisationen, ihre AD-Sicherheit signifikant zu verbessern und Einbrüche durch Cyberkriminelle zu verhindern.

Die Autoren führen aus, dass Microsofts Active Directory die weit verbreitetste Lösung zur Authentifizierung und Autorisierung in der Enterprise-IT ist, und das global. AD bietet mehrere Dienste, einschließlich Active Directory Domain Services (AD DS), Active Directory Federation Services (AD FS) und Active Directory Certificate Services (AD CS). Diese böten wiederum mehrere Authentifizierungsoptionen wie Smart-Card-Log-ins oder Single Sign-on mit On-Premises- oder cloudbasierten Diensten. Aufgrund dieser herausragenden Rolle in der Authentifizierung und Autorisierung sind ADs ein wertvolles Ziel für bösartige Akteure. Sie greifen ADs routinemäßig im Rahmen bösartiger Aktivitäten in Unternehmensnetzen an.

Active Directory ist aufgrund seiner laxen Standardeinstellungen, komplexen Beziehungen und Berechtigungen, der Unterstützung von veralteten Protokollen und dem Mangel von Werkzeigen zur Erkennung von AD-Sicherheitsproblemen anfällig für Kompromittierung, stellen die IT-Experten aus dem internationalen Zusammenschluss fest. Da jeder Nutzer im AD ausreichend Rechte zum Erkennen und Ausnutzen von Schwachstellen innehat, ist die Angriffsfläche von ADs immens groß und sie lasse sich schwer verteidigen. Das begünstigen die Komplexität und Undurchsichtigkeit der Beziehungen zusätzlich, die in einem AD zwischen unterschiedlichen Nutzern und Systemen bestehen. Oftmals würden diese versteckten Beziehungen von Organisationen übersehen und von Angreifern missbraucht, um vollständige Kontrolle über das Netzwerk einer Organisation zu erhalten.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat auf X vor mehr als 15.000 Exchange-Servern in Deutschland gewarnt, die mindestens eine Sicherheitslücke aufweisen, die sich aus dem Netz missbrauchen lässt. Das entspricht einem nur geringfügigen Rückgang gegenüber den Zahlen aus dem März.

Anzeige

Das entspreche 35 Prozent der Server, die hierzulande ein aus dem Netz erreichbares Outlook Web Access (OWA)-Webinterface anbieten. Die IT-Experten vom CERT-Bund schreiben dazu, dass das noch vergleichsweise "gut" sei, da in den vergangenen Monaten keine neue kritische Schwachstelle in Exchange bekannt wurde.

In einem weiteren Post auf X liefert der CERT-Bund weitere Zahlen. Mehr als 12.000 der Exchange-Server 2016 und 2019 mit einem aus dem Internet erreichbaren OWA weisen einen Patch-Stand auf, der über ein halbes Jahr alt ist – das entspreche rund 28 Prozent der Systeme. 6500 respektive 15 Prozent der Exchange-Maschinen mit offenem OWA sind sogar noch auf einem Patchlevel von vor über einem Jahr.

Immerhin: Waren vor einem halben Jahr noch 12 Prozent der OWA-bereitstellenden Server mit einem Exchange-Server außerhalb dessen Support-Lebenszyklus (Exchange 2010 und 2013) im Netz erreichbar, ist deren Zahl nun unter zehn Prozent gefallen. Da für diese Versionen gar keine aktuellen Sicherheitsupdates mehr bereitstehen, sollten diese mit höchster Priorität auf eine noch unterstützte Version migriert werden.

Um die Freiheit im Internet auszudehnen, haben sich die Verantwortlichen hinter dem anonymisierenden Tor-Netzwerk und die Macher des auf Wahrung der Privatsphäre getrimmten Linux-System Tails zusammengetan. Das geht aus einer aktuellen Mitteilung hervor. So wollen sie ihre Kräfte bündeln, um Nutzer weltweit vor Überwachung und Zensur zu schützen. Durch die Kooperation sollen unter anderem Prozesse effektiver aufgeteilt und somit optimiert werden.

Anzeige

Für das anonyme Surfen setzt Tails auf den Tor-Browser, der den Zugriff auf das Internet über das Tor-Netzwerk herstellt. Dieses Netzwerk anonymisiert Verbindungsdaten, sodass etwa Regierungen es schwerer haben, den Datenverkehr zu analysieren. Etwa in Ländern mit starker Zensur ist das oft der einzige Weg, über den Journalisten das Internet für ihre Arbeit nutzen können. Tails will wiederum garantieren, dass das Betriebssystem sicher ist und Anonymität garantiert ist. Dafür setze sich das System etwa nach jedem Neustart zurück, sodass keine Spuren in Tails zurückbleiben.

In der Mitteilung geben die Verantwortlichen an, dass die Tails-Macher Ende 2023 mit der Idee einer Kooperation auf die Tor-Netzwerk-Betreiber zugekommen sind. Durch den Zusammenschluss versprechen sich beide Parteien eine effizientere Aufteilung der Arbeitsbereiche: Die Tails-Entwickler können sich so effektiver auf ihr Tails OS konzentrieren und dabei von der größeren Organisationsstruktur des Tor-Netzwerkes profitieren.

Einem Teamleiter von Tails OS zufolge frisst gar nicht die Implementierung der Technik die meiste Zeit, sondern vielmehr Geschäftsprozesse wie Finanzen und Human Ressources. An diesen Stellen sollen die geschäftlichen Strukturen des Tor-Projektes helfen. Abschließend versprechen sich beide Parteien von der Kooperation, dass sie mehr Menschen erreichen.

In Whatsup Gold klaffen sechs Schwachstellen, von denen zwei als kritisches Risiko gelten. Die vier weiteren Sicherheitslücken verfehlen die kritische Einordnung nur knapp.

Anzeige

In einer Sicherheitsmitteilung warnt Hersteller Progress nun vor diesen Sicherheitslecks. Die Entwickler des Unternehmens empfehlen allen Whatsup-Gold-Kunden, ihre Umgebungen "so schnell wie möglich" auf die nun verfügbare Version 24.0.1 zu aktualisieren. Wer eine ältere Version einsetze und das Upgrade nicht vornehme, bleibe für die Schwachstellen verwundbar.

Temporäre Gegenmaßnahmen, die die Lücken anderweitig ausbessern könnten, gibt es demnach offenbar nicht. Admins sollen die aktualisierte Software von Progress herunterladen. Anschließend sollen sie den Installer starten und den Anweisungen folgen.

Informationen zu den Sicherheitslücken selbst sind jedoch äußerst dünn, freundlich formuliert: Die CVE-Nummern und CVSS-Einstufung sind vorhanden, mehr nicht. Es handelt sich bei den Lücken CVE-2024-46905, CVE-2024-46906, CVE-2024-46907 und CVE-2024-46908 um solche mit einem CVSS-Wert von 8.8, sind also als Risiko "hoch" eingestuft. Gemeldet hat sie Trend Micros Zero Day Initiative. Trend Micro hat zudem die Lücke CVE-2024-46909 gemeldet, mit einem CVSS-Wert von 9.8 als kritisch eingestuft. Von Tenable hat Progress Informationen zur Schwachstelle CVE-2024-8785 erhalten, ebenfalls mit Risikoeinstufung als "kritisch" und einem CVSS-Wert von 9.8.

Die Ransomware der heute als "Storm-0501" bekannten Gruppe ist erstmals im Jahr 2021 aufgefallen. Die Angreifertruppe, die damals zunächst unter dem Namen "Sabbath" auftrat, hatte es auf kritische IT-Infrastrukturen in Nordamerika abgesehen. Seinerzeit gelang es ihr, Server von öffentlichen Einrichtungen zu infizieren und dort Datenbereiche zu verschlüsseln. Über Social-Media-Kanäle traten die Angreifer dann an die Öffentlichkeit und boten gegen Lösegeld Schlüssel zur Dechiffrierung an.

Anzeige

Wie das Portal SecurityIntelligence berichtet, nahmen die Täter 2021 bei einer betroffenen Schule sogar Kontakt mit Lehrern, Schülern und mit Mitarbeitern der Behörden auf, um ein Lösegeld in Höhe von mehreren Millionen US-Dollar einzufordern. Microsoft sieht nach Analyse der aktuellen Attacken nun eine gezielte Verlagerung der Ransomware-Angriffe auf Hybrid-Cloud-Umgebungen.

Wie Microsoft in seinem Securityblog berichtet, wurde ein mehrstufiger Angriff von Storm-0501 in Hybrid-Cloud-Umgebungen beobachtet. Dabei handelt es sich um eine IT-Infrastruktur, die private Cloud-Dienste mit öffentlichen kombiniert und den Austausch von Daten und Anwendungen zwischen beiden Welten ermöglicht. Behörden und Unternehmen nutzen häufig Hybrid-Cloud-Umgebungen, um sensible oder geschäftskritische Daten in der privaten Cloud zu speichern und gleichzeitig weniger sensible Anwendungen und Daten in der kostengünstigeren öffentlichen Cloud zu betreiben.

Die jüngsten Angriffe zielten auf Daten der US-Regierung beziehungsweise Behördendaten sowie Daten von Unternehmen aus dem Fertigungs- und Transportbereich sowie von Strafverfolgungsbehörden in den USA ab. Die Angreifer verschafften sich Zugang zu den Cloud-Umgebungen, indem sie unsichere Anmeldeinformationen privilegierter Konten ausnutzten.

Da es offenbar keine Wortmeldungen zu den insgesamt 20 Empfehlungen von dem federführenden Ausschuss für Innere Angelegenheiten, dem Gesundheitsausschuss, dem Ausschuss für Umwelt, Naturschutz und nukleare Sicherheit und dem Verkehrsausschuss zum NIS2 gab, wurden direkt die Abstimmungen zu den Ausschussempfehlungen vorgenommen. Alle wurden ausnahmslos mehrheitlich angenommen.

Anzeige

Der Bundesrechnungshof war kürzlich für deutlich mehr Kritik und Sinnhaftigkeit zu haben. Im Rahmen von NIS2 wäre die Unterstützungsleistung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei Polizeibehörden und Verfassungsschutz künftig auf Bundesbehörden beschränkt worden. Im Rahmen der Amtshilfe hätten diese dann im Einzelfall leichter abgelehnt werden können. Es wird jetzt aber die gesetzliche Durchführung einer Unterstützungsleistung durch das BSI umgesetzt.

Es soll ein medienbruchfreies digitalisiertes Meldeverfahren in der Online-Plattform für den freiwilligen Informationsaustausch relevanter Cybersicherheitsinformationen haben. Dazu wird der elektronische Identitätsnachweis der EU mit dem Sicherheitsniveau "hoch" gefordert. Es soll auch gleichzeitig Zugang zu Informationen zur physischen Sicherheit und Resilienz Kritischer Infrastrukturen vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe bereitgestellt werden. Das Ganze soll auch in einem Ende-zu-Ende digitalisierten Verfahren realisiert werden.

Ein erheblicher Teil der Fake-Shops in Deutschland verfügt laut dem Bundesrat über eine DE-Domain, die bei Verbrauchern als "besonders vertrauenswürdig" gelte. In einer Stellungnahme zum Gesetzentwurf der Bundesregierung zur Umsetzung der 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) verlangt die Länderkammer daher eine "Verpflichtung zur Identitätsprüfung von Domain-Anmeldungen und Domain-Übertragungen über qualifizierte Identifizierungsverfahren". In Betracht kommen sollen dafür etwa VideoIdent-Mechanismen oder die Vorlage eines elektronischen Identitätsnachweises (eID), der unter anderem im Personalausweis enthalten ist. Auf jeden Fall müssten sich die Anbieter dadurch "Gewissheit über die Person des Beteiligten verschaffen können".

Anzeige

Die " genauen und vollständigen Domain-Namen-Registrierungsdaten" sollen laut der am Freitag beschlossenen Eingabe des Bundesrats "in der Datenbank für die Abfrage von Zugriffsberechtigten" (Whois) vorgehalten werden. Domain-Registrare und Registrierungsdienstleister wollen die Länder verpflichtet wissen, "möglichst in Echtzeit" berechtigten Nachfragern wie Sicherheitsbehörden, Verbraucherzentralen oder speziellen Dienstleistern zur Verfügung zu stellen. Die Bundesregierung soll sich ferner für klare Regeln einsetzen, unter welchen Voraussetzungen Domains "bei Missbrauch blockiert werden können". Dabei sei zu prüfen, "inwieweit automatisierte Verfahren" genutzt werden könnten.

"Zur Fake-Shop-Bekämpfung bei Missbrauch sind die zeitnahe und vollständige Verfügbarkeit der Registrierungsdaten für die Erkennung von Vorfällen und die Reaktion darauf von wesentlicher Bedeutung", begründen die Länder ihre Initiative und verweisen auf einen allgemeinen Beschluss der Verbraucherministerkonferenz. Da betrügerische Online-Stores "mit legitimer Adresse eines anderen Unternehmens besonders gefährlich sind", sei ein mit Blick auf die Datenschutz-Grundverordnung (DSGVO) unbedenklicher "Abgleich des Ortes im Impressum des Fake-Shops mit dem in den Denic-Registrierungsdaten hinterlegten" einschlägigen Angaben zwingend erforderlich.

Auch der Regierungsentwurf sieht zwar bereits im Sinne der NIS2-Richtlinie eine Pflicht zum Führen einer Datenbank mit "genauen und vollständigen Domain-Namen-Registrierungsdaten" sowie einer "unverzüglichen" Zugangsgewährung vor – spätestens innerhalb von 72 Stunden. Der Bundesrat drängt aber darauf, diese Passagen massiv zu verschärfen.

Die französische Nachrichtenagentur Agence France-Presse (AFP) ist von einer Cyberattacke getroffen worden. Der Angriff auf das Informationssystem der Agence France-Presse, der in Teilen auch die Übertragungstechnik zu den Kunden betraf, sei am Freitag entdeckt worden, teilte die Agentur in Paris mit. Die Urheber des Angriffs und mögliche Motive seien nicht bekannt.

Anzeige

Die technische Abteilung der AFP kümmere sich mit der Unterstützung und Expertise der nationalen Behörde für Informationssicherheit (ANSSI) um den Vorfall. Die zuständigen Behörden in Frankreich seien eingeschaltet worden. Obwohl die Übertragung zeitweise beeinträchtigt war, lief die aktuelle weltweite Berichterstattung der AFP wie gewohnt weiter.

Im Oktober 2024 will Microsoft die umstrittene KI-Suchfunktion Recall für Windows 11 nach einem Rückzug wieder für Copilot+-PCs anbieten – mit umfangreichen Änderungen. Dies hat das Unternehmen jetzt in einem umfangreichen Blogbeitrag bekannt gegeben. Dort heißt es gleich im ersten Satz, dass "KI immer mehr ein fester Bestandteil von Windows" werde – folglich gibt Microsoft Recall also nicht auf, sondern lässt den Nutzern mehr Möglichkeiten, die Funktion zu konfigurieren oder ganz abzuschalten.

Anzeige

Laut dem Beitrag soll es beim Installieren von Windows einen eigenen Bildschirm geben, bei dem man das regelmäßige Speichern von Screenshots, die Basis von Recall, ganz abschalten kann. Microsoft macht die Funktion dem Nutzer jedoch mit der Überschrift "Schalten sie ihr fotografisches Gedächtnis mit Recall frei" bei diesem Teil des Windows-Setup recht schmackhaft. Eher am Rande erwähnt das Unternehmen, dass sich Recall nach der Installation von Windows auch über die Systemsteuerung, so wörtlich, "vollständig entfernen" lassen soll.

Wenn man sich für Recall entscheidet, soll das System standardmäßig besonders sensible Daten nicht speichern. Dazu nennt Microsoft ausdrücklich nur Kreditkartendaten, Ausweisnummern und Passwörter. Um diese Informationen schon vor dem Screenshot zu filtern, verwendet Recall das System Purview, das schon von den Windows-Ausgaben für Behörden und Unternehmen bekannt ist. Die Inhalte von privaten Browserfenstern sollen nie gespeichert werden. In einem anderen Beitrag nennt Microsoft die dabei unterstützten Browser, dazu zählen Chrome, Edge, Firefox, Opera sowie einige auf Chromium basierende Programme. Zu Inhalten für Erwachsene macht der Blogbeitrag keine Angaben.

Aus dem Screenshot-Katalog von Recall kann man rückwirkend auch wieder Inhalte löschen. Das soll laut dem Blog für Programme, Webseiten oder einen bestimmten Zeitraum möglich sein. Auch alle Recall-Daten lassen sich entfernen. Microsoft betont in seinem Beitrag, und auch beim bereits erwähnten Teil des Windows-Setup wortgleich "Sie haben immer die Kontrolle" und will so offenbar um Vertrauen werben.

Sie planen, ein Information Security Management System (ISMS) gemäß ISO 27001 einzuführen? In unserem interaktiven iX-Workshop IT-Sicherheit nach ISO 27001 umsetzen erhalten Sie eine fundierte Einführung in die Grundlagen der internationalen Norm für Informationssicherheit und profitieren von Best Practices und Lösungsansätzen für die erfolgreiche Umsetzung in Ihrem Unternehmen.

Anzeige

An zwei Vormittagen begleitet Sie unser Trainer Björn Lemberg durch den Workshop, macht Sie mit grundlegenden Tätigkeiten, aber auch typischen Fallstricken vertraut und stellt Ihnen wichtige Meilensteine der Projektplanung vor. Als leitender Berater der Secuvera GmbH unterstützt er Organisationen bei der Einführung, Aufrechterhaltung, Verbesserung und Prüfung von Informationssicherheitsmanagementsystemen. Die Inhalte des Workshops werden durch Gruppenarbeiten und Diskussionen veranschaulicht und vertieft, um einen praxisnahen Lernansatz zu gewährleisten.

Der nächste Workshop findet am 4. und 5. September 2024 statt und richtet sich an Informationssicherheitsbeauftragte, IT-Mitarbeitende und Führungskräfte, die einen fundierten Einblick in das Thema erhalten möchten.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Eine Gruppe von Sicherheitsforschern hat kritische Schwachstellen im Webportal von Kia entdeckt. Am Donnerstag hat die Gruppe die Entdeckung öffentlich gemacht. Die Schwachstellen hätten es Angreifern ermöglicht, Millionen von Kia-Autos nur anhand des Nummernschilds binnen Sekunden aus der Ferne zu orten, zu aktivieren, zu starten und die Hupe zu betätigen. Betroffen waren Fahrzeuge mit Remote-Hardware, also solche älter als Baujahr 2013, unabhängig davon, ob sie ein aktives Kia-Connect-Abonnement hatten oder nicht. Inzwischen bestünde jedoch keine Gefahr mehr.

Anzeige

Um aufzuzeigen, wie einfach sie die mit dem Internet verbundenen Funktionen der Fahrzeuge aufgrund der Schwachstellen kapern konnten, entwickelten die Forscher eine eigene App, mit der sie Befehle an Fahrzeuge der betroffenen Modelle schicken konnten, sofern sie das Nummernschild kannten.

Über die Lücken in der Webanwendung konnten die Sicherheitsforscher außerdem persönliche Daten von Autobesitzern einsehen, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen und sich selbst als zweiter Benutzer dem Benutzerkonto hinzufügen, ohne dass die Fahrzeug-Eigentümer das mitbekommen hätten.

Die Schwachstellen in der Webanwendung erlaubten es den Forschern, einen Händler-Account im Kia-Händlerportal zu registrieren, über den sie auf die Kia-Händler-APIs im Backend zugreifen konnten. Von dort aus fanden sie einen Weg, Fahrzeuge betroffener Modelle zu übernehmen. Details zu ihrem Vorgehen haben sie in einem Blogpost veröffentlicht.

Admins, die sich schon auf den Weg ins Wochenende machen wollten, sollten noch mal rasch an den Verwaltungs-PC: Die PHP-Entwickler haben die Versionen 8.3.12 und 8.2.24 veröffentlicht. Diese schließen teils als kritisches Risiko eingestufte Sicherheitslücken.

Anzeige

Die Versionsankündigungen für PHP 8.3.12, PHP 8.2.24 und PHP 8.1.30 sind äußerst knapp. "Dies ist ein Sicherheits-Release. Allen PHP 8.[1|2|3] Nutzern sei empfohlen, auf diese Version zu aktualisieren" lauten die Ankündigungen, deren einziger Unterschied die Versionsnummer ist.

Ähnlich sieht es bei den Changelogs zu Version 8.3.12 und 8.2.24 aus. Sie sind nahezu identisch. Ausnahme ist ein zusätzlich korrigierter Fehler in PHP 8.3.12, der in 8.2.24 offenbar nicht vorhanden ist. Dabei handelt es sich laut Kurzbeschreibung um einen Signed-Integer-Überlauf in ext/dom/nodelist.c. Wesentlich schlimmer ist jedoch ein Wiedergänger einer alten Lücke in PHP-Versionen vor den nun neu veröffentlichten. Es geht erneut um die bekannte Sicherheitslücke CVE-2024-4577 – der bisherige Patch reicht nicht aus, die damit getroffenen Gegenmaßnahmen lassen sich umgehen. Details fehlen noch, der CVE-Eintrag CVE-2024-8926 ist zum Meldungszeitpunkt noch auf Status "reserved". Tenable verrät jedoch, dass der CVSS-Wert 9.1 beträgt, die Lücke mithin "kritisch" ist und die Windows-Version von PHP. betrifft. Das Changelog für PHP 8.1.30 fällt hingegen deutlich kürzer aus.

IT-Verantwortliche sollten die aktualisierten PHP-Versionen zügig installieren. Die Vorgänger-Schwachstelle CVE-2024-4577 wurde bereits im Juni in freier Wildbahn angegriffen. Die CISA hat davor mit der Aufnahme des Sicherheitslecks in den Known-Exploited-Vulnerabitlites-Katalog gewarnt. Etwas Salz streut in die Wunde, dass auch CVE-2024-4577 lediglich eine Variante eines 12 Jahre älteren Fehlers (CVE-2012-1823) war, den die Programmierer auch da nicht vollständig korrigiert haben.