Comretix Blog

Angreifer können Sicherheitslücken in Sonos Speaker-Systemen missbrauchen, um Schadcode einzuschleusen und auf den Lautsprechern auszuführen. Aktualisierungen stehen bereit.

Es geht um insgesamt drei Sicherheitslücken, zu denen die Zero-Day-Initiative (ZDI) von Trend Micro jetzt zusammen mit Sonos koordiniert Informationen veröffentlicht hat. Alle drei Schwachstellen verpassen die Einordnung als kritisches Sicherheitsrisiko nur äußerst knapp und lassen sich ohne vorherige Anmeldung ausnutzen.

Das erste der nun gemeldeten Sicherheitslecks geht auf eine fehlende Prüfung bei der Verarbeitung von SMB-Daten zurück (also aus Windows-Netzwerkfreigaben), ob ein Objekt überhaupt existiert, bevor die Sonos-Software Operationen darauf ausführt (CVE-2025-1048, CVSS 8.8, Risiko "hoch"). Etwas unerwartet ist ein sicherheitsrelevantes Problem bei der Verarbeitung von ID3-Tags, wie sie etwa MP3-Dateien enthalten. Es findet keine ausreichende Prüfung der Länge von benutzerübergebenen Daten statt, bevor die in einen Puffer auf den Heap kopiert werden. Durch den potenziell auftretenden Pufferüberlauf lässt sich Schadcode einschleusen und im Kontext des Nutzers "anacapa" ausführen (CVE-2025-1049, CVSS 8.8, Risiko "hoch").

Ähnlich sieht es bei der Verarbeitung von HLS-Playlisten-Daten aus. Auch hier fehlt eine sachgerechte Prüfung der Länge benutzerübergebener Daten, wodurch Schreibzugriffe hinter das Ende einer allokierten Datenstruktur möglich wird – der User "anacapa" lässt sich dadurch unfreiwillig zum Ausführen von eingeschmuggelten Schadcode bringen (CVE-2025-1050, CVSS 8.8, Risiko "hoch").

Die Schwachstelleneinträge des ZDI beschreiben die Lücken für die Sonos Era-300-Systeme. Eine nun öffentlich zugreifbare Sicherheitsmitteilung von Sonos erklärt jedoch, dass alle Sonos S1- und S2-Systeme, und hier genauer System-Releases vor v16.6 (Build 83.1-61240) und Sonos S1-System-Releases v11.15.1 (Build 57.22-61162) anfällig sind. Demnach handelt es sich um Schwachstellen, die im Rahmen der Pwn2Own-Veranstaltung 2024 in Irland aufgedeckt wurden. Eine Anleitung von Sonos erörtert, wie Nutzerinnen und Nutzer die bereitstehenden Aktualisierungen installieren können.

Microsofts Entwickler haben erneut Pech mit Windows-Updates. Ein Patch, der eine Sicherheitslücke in Windows-Betriebssystemen schließt, mit der Angreifer ihre Rechte im System ausweiten können, erstellt im Systemlaufwerk den Ordner "inetpub". Ein renommierter IT-Sicherheitsforscher hat herausgefunden, dass das jedoch eine neue Schwachstelle im System öffnet.

Der IT-Security-Experte Kevin Beaumont hat seine Erkenntnisse in einen Blog-Beitrag gegossen. Der Microsoft-Patch zum Schließen einer Sicherheitslücke mit dem CVE-Eintrag CVE2025-2104 wurde zum April-Patchday veröffentlicht. Das Problem, das das Update löst, betrifft eine falsche Auflösung von Verknüpfungen ("link following"). Mit solchen Verknüpfungen lässt sich nun jedoch Schindluder treiben.

Windows kennt seit Windows 2000 sogenannten "Junctions" als Verknüpfungen. Dabei dient ein Verzeichnis als Alias für ein anderes. So kann etwa das Verzeichnis "D:\Win" auf "C:\Winnt\System32" verweisen, und ein Zugriff auf "D:\Win\Drivers" landet tatsächlich in "C:\Winnt\System32\Drivers". Beaumont weist darauf hin, dass sogar Nicht-Admins derartige Junctions im Systemlaufwerk C: anlegen dürfen.

Mit dem Aufruf des Befehls mklink /j c:\inetpub c:\windows\system32\notepad.exe legt er eine solche Verknüpfung der "notepad.exe" auf das Verzeichnis "inetpub" an. Sofern er diese Verknüpfung angelegt hat, schlägt die Installation der Windows-Updates aus dem April fehl. Das geht laut Beaumont auch künftigen Updates so, sofern Microsoft das Problem nicht zuvor löst. Die Installation schlägt fehl und löst gegebenenfalls ein Rollback aus. Am Ende stehen Betroffene ohne Sicherheitsupdates da. Dieses Verhalten könnten bösartige Akteure missbrauchen. Kevin Beaumont hat Microsoft diesbezüglich den eigenen Angaben nach vor zwei Wochen kontaktiert, jedoch keine Rückmeldung erhalten.

Vergangene Woche fiel der oftmals neu auftauchende Ordner "C:\inetpub" auf Windows-Systemen auf, auf denen zuvor kein Microsoft-Webserver (Internet Information Server, IIS) aktiv war. Microsoft schrieb dazu: "Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob Internetinformationsdienste (IIS) auf dem Zielgerät aktiviert ist. Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen, und erfordert keine Aktion von IT-Administratoren und Endbenutzern."

In Folge 30 des Security-Podcasts besprechen die Hosts zunächst das diverse Feedback ihrer Hörer und Hörerinnen. Die treibt immer noch das Thema Smartphone-Security aus den Folgen 25 und 28 um, was zu einigen interessanten Anmerkungen geführt hat. Danach geht es um die Exploit- und Angriffs-Industrie in China und das i-Soon-Leak.

Angreifer können an zwei Sicherheitslücken in Zyxel-Firewalls der Serie USG FLEX H ansetzen. Attacken sind aber nicht ohne Weiteres möglich.

In einer Warnmeldung führen die Entwickler auf, dass es zu Fehlern bei der Verarbeitung von PostgreSQL-Befehlen kommen kann (CVE-2025-1732 "hoch"). Für eine solche Attacke muss ein lokaler Angreifer aber bereits authentifiziert sein und über niedrige Nutzerrechte für die Linux-Shell verfügen. Ist das gegeben, kann er sich eines Admin-Tokens bemächtigen und Konfigurationen verändern. Konkret sind davon die uOS-Versionen 1.20 bis einschließlich 1.31 betroffen.

Die zweite Schwachstelle (CVE-2025-1732 "mittel") versetzt einen Angreifer, der bereits über Administratorrechte verfügt, in die Lage, präparierte Konfigurationsdateien hochzuladen. Die Entwickler versichern, beide Lücken in uOS 1.32 geschlossen zu haben.

Aus der Warnmeldung von Zyxel geht nicht hervor, ob es bereits Attacken gibt. Unklar bleibt bislang auch, an welchen Parametern Admins bereits attackierte Firewalls erkennen können.

Es sind wichtige Sicherheitspatches für IBM Hardware Management Console (HMC) erschienen. Angreifer könnten unter anderem Schadcode als privilegierter Benutzer ausführen. Sicherheitsupdates sind verfügbar.

Mit einer HMC-Appliance verwalten Admins IBM-Systeme. Eine Kompromittierung kann weitreichende Schäden nach sich ziehen.

In einer Warnmeldung schreiben die Entwickler, dass lokale Angreifer an einer "kritischen" Lücke (CVE-2025-1950) ansetzen können. Weil Bibliotheken aus eigentlich nicht vertrauenswürdigen Quellen nicht ausreichend überprüft werden, kann Schadcode auf Systeme gelangen.

Durch das erfolgreiche Ausnutzen der zweiten Schwachstelle (CVE-2025-1951 "hoch") können lokale Angreifer Befehle mit erweiterten Rechten ausführen, heißt es in einem Beitrag.

Konkret bedroht sind HMC V10.2.1030.0 und V10.3.1050.0. In den Warnmeldungen listen die Entwickler die Fixes MF71717, MF71718, MF71719 und MF71720 auf. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Unklar bleibt, woran Admins bereits attackierte Appliances erkennen können.

Weil Exploitcode für eine "kritische" Sicherheitslücke in Erlang/OTP SSH im Umlauf ist, könnte es zeitnah zu Attacken kommen. Setzen Angreifer erfolgreich an der Schwachstelle an, können sie Systeme nach der Ausführung von Schadcode kompromittieren.

Die Erlang/OTP-SSH-Bibliotheken ermöglichen es Entwicklern, in der Programmiersprache Erlang geschriebene Anwendungen für den Fernzugriff mit SSH-Client- und -Server-Funktionalitäten auszustatten.

Aus einer Warnmeldung geht hervor, dass die Lücke (CVE-2025-32433) mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft ist. Attacken sollen aus der Ferne ohne Authentifizierung möglich sein.

In einem Beitrag führen die Entdecker der Schwachstelle von der Ruhr-Universität Bochum aus, dass davon wahrscheinlich alle Anwendungen, die Erlang/OTP SSH einsetzen, bedroht sind. Das Sicherheitsproblem steckt in der Verarbeitung von SSH-Protokoll-Nachrichten. An dieser Stelle können Angreifer Verbindungsprotokollnachrichten vor der Authentifizierung senden.

Im Anschluss kann es zu DoS-Zuständen kommen. Es kann aber auch Schadcode auf Systeme gelangen. Den Code können Angreifer dann mit den Rechten des SSH-Daemons ausführen. Läuft dieser mit Root-Rechten, hat das fatale Folgen.

Sperrige Namen haben die Funktionen, die Microsoft nun aufs Altenteil schiebt: Virtualisierungsbasierte Sicherheitsenklaven (VBS) und Windows UWP Map Controls und zugehörige APIs. Dahinter verbergen sich Funktionen, die Nutzerinnen und Nutzer nicht direkt zu Gesicht bekommen, sondern mit denen Entwickler Kontakt haben.

Microsoft nennt diese Funktionen nun auf der Webseite für die abgekündigten Windows-Funktionen. Die virtualisierungsbasierten Sicherheitsenklaven, auf englisch virtualization-based security enclaves (VBS) genannt (nicht zu verwechseln mit Visual-Basic-Skripten, die die Abkürzung VBS teilen), stellen eine softwarebasierte "Trusted Execution Environment" (TEE) bereit. Dahinter stecken isolierte Adressräume und virtualisierte Maschinen, die Code und Daten in geschützten Bereichen von dem "normalen" Programm- und Kernel-Code abschotten. Verschlüsselungsfunktionen werden oftmals in solchen TEEs angeboten, sie können auch TPM-Funktionen bereitstellen. Für gewöhnlich stellen Prozessoren und Betriebssysteme solche Bereiche bereit, etwa auf ARM-basierten Android-Smartphones; Microsoft hält ebenfalls solche Bereiche vor.

Diese Funktion wirft Microsoft in Kürze aus Windows 11 23H2 und älteren sowie aus Windows Server 2022 und Betriebssystemversionen davor raus. Sie bleiben für Windows 11 24H2 sowie Windows Server 2025 und jeweils neueren Fassungen verfügbar. Entwickler müssen gegebenenfalls die SDKs und Visual Studio auf neueren Stand bringen. Wer auf der Kundenseite noch ältere Windows-Fassungen einsetzt und diese Funktionen für die Software benötigt, muss die Aktualisierung des Windows-Betriebssystems in absehbarer Zeit einplanen.

Bereits vor zwei Wochen hat Microsoft die "Microsoft UWP Map Control" und "Windows Maps Platform APIs" abgekündigt. Dahinter verbirgt sich die Unterstützung für Karten-Apps, wobei Microsoft die Systeme "Bing Maps for Enterprise" sowie "Azure Maps" zusammenführen unter dem Dach des letztgenannten Dienstes betreiben will. Wer in seinem Programmcode auf die Windows UWP Map Control setzt, sollte sich innerhalb eines Jahres um einen Ersatz auf Basis von Azure Maps umsehen. Auf der Ersatz-Ressourcen-Website zu abgekündigten Funktionen verlinkt Microsoft für Entwickler hilfreiche Anleitungen zum Wechsel, Code-Beispiele und die Blogs zu den beiden Maps-Diensten.

Nicht jede Ankündigung für veraltete Funktionen erhält Microsoft jedoch auch aufrecht. Anfang April hat Microsoft erklärt, dass das Ende der Driver Synchronization in WSUS – geplant am 18. April dieses Jahres – nun doch erst mal auf die lange Bank geschoben wird. Rückmeldungen aus der Kundschaft haben gezeigt, dass diese Funktion insbesondere für den Inselbetrieb, also in isolierten Netzwerken wie beispielsweise auf Schiffen, derzeit noch unverzichtbar ist.

Die Sicherheit von Asus-Routern ist durch eine Schwachstelle in Asus' AiCloud-Dienst bedroht. Angreifer können dadurch unbefugt Funktionen ausführen, warnt der Hersteller.

Im CVE-Eintrag zur Schwachstelle erörtert Asus, dass in der AiCloud eine unzureichende Authentifizierungskontrolle stattfinde. Diese lasse sich durch manipulierte Anfragen missbrauchen, um ohne Autorisierung Funktionen auszuführen (CVE-2025-2492, CVSS 9.2, Risiko "kritisch").

Da Asus keine Details zu der Schwachstelle nennt, liefern die Angaben keine Einblicke, wie Angreifer sie etwa missbrauchen können. Die Asus AiCloud-Software stellt jedoch Funktionen bereit, um etwa mittels App auf Daten im heimischen LAN zugreifen zu können, also überall Zugang zu den eigenen Daten zu erhalten. In der Sicherheitsmitteilung schreibt Asus lediglich, dass die Entwickler aktualisierte Firmware für die Serien 3.0.0.4_382, 3.0.0.4_386, 3.0.0.4_388 und 3.0.0.6_102 veröffentlicht hat. Die soll die Schwachstelle ausbessern.

Asus empfiehlt, die neue Firmware zu installieren, die auf der Asus-Support-Webseite erhältlich ist, wenn man nach der Modellnummer sucht. Als weiteren Sicherheitstipp nennt der Hersteller, dass etwa das WLAN und die Router-Administrationswebseite unterschiedliche Passwörter haben sollten. Diese sollten zudem mindestens zehn Zeichen lang sein und einen Mix aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen aufweisen. Explizit warnt Asus vor Passwörtern mit einfachen Zahlen- oder Buchstabenfolgen, wie sie sich etwa alphabetisch sortiert oder durch das Drücken der auf der Tastatur nebeneinander liegenden Tasten ergeben.

Denjenigen, die das Update nicht durchführen können oder die aufgrund des End-of-Life ihres eingesetzten Geräts kein Firmware-Update erhalten können, rät Asus, darauf zu achten, dass Router- und WLAN-Passwörter stark sind. Zudem sollten Betroffene AiCloud deaktivieren und jedweden Dienst abschalten, der aus dem Internet erreichbar ist, wie den Fernzugriff aus dem WAN, Portforwarding, DDNS, den VPN-Server, die DMZ, Porttriggering und FTP.

Das Wordpress-Plug-in Greenshift soll Websites hübscher machen und die mobile Darstellung optimieren. Nun können Angreifer unter bestimmten Voraussetzungen aber an einer Sicherheitslücke ansetzen und Seiten kompromittieren. Mittlerweile haben die Entwickler die Lücke geschlossen. Dafür waren aber zwei Sicherheitsupdates nötig.

Vor der Schwachstelle (CVE-2025-3616, Risiko "hoch") warnen Sicherheitsforscher von Wordfence in einem Beitrag. Weil die Funktion gspb_make_proxy_api_request() Dateitypen nicht ausreichend validiert, können authentifizierte Angreifer mit Subscriber-Level-Zugriff an der Lücke ansetzen und über die Uploadfunktion Schadcode hochladen.

Davon sind die Greenshift-Versionen 11.4 bis einschließlich 11.4.5 betroffen. Die Ausgabe 11.4.5 war bereits gepatcht, doch das Sicherheitsupdate war unzureichend. Erst in der Version 11.4.6 ist das Plug-in gegen die geschilderte Attacke gerüstet.

Wie aus der Beschreibung des Plug-ins hervorgeht, weist es mehr als 50.000 aktive Installationen auf. Auch wenn es noch keine Berichte zu laufenden Attacken gibt, sollten Webadmins zeitnah reagieren und sicherstellen, dass die aktuelle Version installiert ist.

Vergangene Woche wurde bekannt, dass eine Sicherheitslücke im Wordpress-Plug-in Suretriggers rund 100.000 Webseiten gefährdet, auf denen die Software installiert ist. Diese Schwachstelle wird bereits von Kriminellen attackiert und zur Kompromittierung von Wordpress-Instanzen aktiv missbraucht.

Eine Schwachstelle in Microsofts NTLM-Authentifizierung wird in freier Wildbahn missbraucht. Durch das Senden manipulierter Dateien in E-Mails leiten bösartige Akteure NTLM-Hashes um, mit denen sie dann auf Rechner zugreifen können. Davor warnt jetzt unter anderem die US-amerikanische IT-Sicherheitsbehörde CISA.

Die attackierte Sicherheitslücke hat Microsoft im März mit Windows-Updates geschlossen. Es handelt sich um eine "NTLM Hash Disclosure Spoofing"-Schwachstelle. "Externe Kontrolle über einen Dateinamen oder Pfad in Windows NTLM ermöglicht nicht autorisierten Angreifern, Spoofing über das Netz auszuführen", beschreibt Microsoft das Leck (CVE-2025-24054, CVSS 6.5, Risiko "mittel"). Das Unternehmen ergänzte die Einschätzung, dass ein Missbrauch wenig wahrscheinlich sei ("Exploitation less likely").

IT-Sicherheitsforscher von Checkpoint haben ab dem 19. März Attacken auf diese Sicherheitslücke beobachtet. Ziel dieser Malware-Kampagne waren Regierung und private Einrichtungen in Polen und Rumänien. Die Angreifer haben E-Mails an Opfer geschickt, die Links auf Dropbox enthielten. Die Archive von dort enthielten Dateien, die mehrere Sicherheitslücken einschließlich CVE-2025-24054 missbrauchen, um NTLMv2-SSP-Hashes abgzugreifen (NTLM Security Support Provider).

Solche NTLM-Relay-Angriffe fallen unter die Kategorie der Man-in-the-Middle-Angriffe (MitM), mit denen die NTLM-Authentifizierung attackiert wird. Anstatt das Passwort zu knacken, fangen Angreifer den Hash ab und geben ihn an einen anderen Dienst weiter, um sich als Benutzer zu authentifizieren, erklären die IT-Forscher.

Mit bösartig manipulierten .library-ms-Dateien erfolgten die dann später auch global beobachteten Angriffe, die die NTLM-Hashes an die Täter umleiteten, die dadurch in eine Man-in-the-Middle-Position gelangten, was ihnen das Kompromittieren der verwundbaren Systeme ermöglichte. Der Exploit in den Dateien wird beim Entpacken des .zip-Archivs aktiv, die späteren Angriffe erfolgten dann mit nicht gepackten Dateien. Microsofts Beschreibung zufolge genügt auch weniger Nutzerinteraktion, um die Lücke zu missbrauchen. Ein Rechtsklick, Drag'n'Drop von Dateien oder einfach das Öffnen eines Ordners mit der präparierten Datei ermöglicht das Ausschleusen der NTLM-Hashes. Die Checkpoint-Analyse enthält am Ende noch Indizien für Angriffe (Indicators of Compromise, IOCs).

Wer einen Webex-Client für die Konferenzsoftware für Cisco in den Versionen 44.6 oder 44.7 einsetzt, sollte die Software dringend aktualisieren. In diesen Ausgaben, und zwar unter gleich welchem Betriebssystem, steckt ein fehlerhafter URL-Parser. Dieser kann nach Darstellung des Herstellers dafür sorgen, dass durch einen präparierten Einladungslink zu einer Webex-Konferenz ausführbare Dateien heruntergeladen werden können.

Diese laufen dann mit allen Rechten des Nutzers. Ob dabei eventuelle Schutzmechanismen eines Betriebssystems noch anschlagen, geht aus der Mitteilung von Cisco nicht hervor. Die vorläufige CVE-Einstufung der Lücke lautet für das Risiko "Hoch", der Score beträgt 8,8 von 10 Punkten. Einen Workaround gibt es nicht.

Betroffen sind nur die eingangs genannten Versionen der Webex-Clients, laut Cisco unter anderem auch nicht Ausgabe 44.5 und Versionen vor dieser. Ab Version 44.8 sollen die Clients die Lücke nicht mehr aufweisen. Wie sie auftreten konnte, und warum sie nur bei 44.6 und 44.7 auftritt, gab Cisco nicht bekannt. Die reparierte und aktuelle Version 44.8 steht auf den Download-Seiten von Cisco bereit.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der KI-Verordnung der EU soll Künstliche Intelligenz und deren Einsatz umfassend regulieren. Doch wie passt dieses Gesetz zu den bestehenden Datenschutzregeln, insbesondere der Datenschutz-Grundverordnung (DSGVO)? In der aktuellen Folge des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Prof. Dr. Rolf Schwartmann, dem Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit (GDD).

Prof. Rolf Schwartmann beim Podcasten in der Auslegungssache

Schwartmann weist zunächst auf die unterschiedlichen Ziele beider Regelwerke hin. Während die DSGVO klare Vorgaben für den Umgang mit personenbezogenen Daten macht, ist die KI-Verordnung eine Produktregulierung. Sie definiert, unter welchen Bedingungen Anbieter und Nutzer von KI-Systemen agieren dürfen. Beide Gesetze haben zwar den Schutz von Grundrechten im Blick, verfolgen aber gänzlich unterschiedliche Ansätze.

Ein zentrales Problem sieht die Runde im Zusammenspiel der beiden Gesetze bei der generativen KI, also Systemen wie ChatGPT. Diese KI-Modelle sind grundsätzlich nicht zweckgebunden, sondern flexibel einsetzbar, was mit dem Grundsatz der Zweckbindung aus der DSGVO nur schwer vereinbar ist. Es bestehe die Gefahr, dass viele die KI rechtswidrig, aber sanktionslos einsetzen. Schwartmann betont, dass Nutzer generativer KI für Schäden durch falsche Ergebnisse haften könnten.

Hinzu kommen Herausforderungen wie die automatisierte Entscheidungsfindung: Die DSGVO verbietet automatisierte Entscheidungen mit erheblichen rechtlichen Folgen oder wesentlichen Beeinträchtigungen, während die KI-Verordnung solche Systeme unter strengen Voraussetzungen durchaus erlaubt. Allerdings knüpft sie dies an umfangreiche Compliance-Pflichten.

Wenige Tage nachdem Großbritannien eine elektronische Einreisegenehmigung zur Voraussetzung für Besuche gemacht hat, warnt die deutsche Polizei vor einer neuen Masche, bei der Kriminelle das zu Phishing-Zwecken ausnutzen. In einer Pressemitteilung verweist das Polizeipräsidium Mittelhessen auf den Fall einer betrogenen Frau, gibt Hinweise für die richtige Beantragung und verweist auf die korrekte Website der britischen Regierung. Wegen eines Zeilenumbruchs in der URL führt der Link allerdings ins Leere.

Wie die Polizei erläutert, ist die Frau auf eine seriös erscheinende, aber gefälschte Internetseite hereingefallen, die sie über eine Recherche per Suchmaschine gefunden hat. Dort reichte sie eine Bewerbung für ein Touristenvisum ein und bezahlte per Kreditkarte die geforderte Gebühr von 99 US-Dollar. Ein Foto sowie eine Kopie ihres Reisepasses sollte sie ebenfalls einreichen. Auch dem sei sie nachgekommen. Erst nach Erhalt der angeblichen Bestätigung ihres Visums habe sie Verdacht geschöpft, ihre Kreditkarte gesperrt und die Website erneut aufgerufen. Ihr Antivirusprogramm habe die dann als Phishing-Seite ausgewiesen, woraufhin sie Anzeige erstattete.

Angesichts des Betrugsfalls rät die Polizei dazu, die offizielle Seite zu benutzen. Dort gibt es auch Verweise zu den offiziellen Apps für Android und iOS. Nicht vertrauen dürfe man nicht auf die ersten Ergebnisse in den Trefferlisten von Suchmaschinen, Seiten mit den Top-Level-Domains .org oder .com gehörten nicht der britischen Regierung. Versprechen auf ein "schnelles Visum" oder eine "Garantie" von privaten Anbietern seien unseriös. Der offizielle Antrag für eine "Electronic Travel Authorisation" kostet knapp 20 Euro und die Bearbeitungszeit beträgt drei Tage.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der Open Source Technology Improvement Fund (OSTIF) hat mit Unterstützung des Sovereign Tech Fund und in Zusammenarbeit mit Quarkslab und der PHP Foundation im vergangenen Jahr eine umfassende Sicherheitsprüfung des PHP-Interpreters (PHP-SRC) durchgeführt. Diese Prüfung zielte darauf ab, die Sicherheit des weitverbreiteten Skriptsprachen-Interpreters noch vor der Veröffentlichung der Version PHP 8.4 im November 2024 zu verbessern.

Im Rahmen des Audits, das offenbar fast zwei Monate dauerte, führten die Experten von Quarkslab eine detaillierte Analyse durch, die sowohl manuelle Codeüberprüfungen als auch dynamische Tests und kryptografische Überprüfungen umfasste. Insgesamt wurden 27 Schwachstellen festgestellt, darunter 17 sicherheitsrelevante Probleme. Zu den schwerwiegendsten entdeckten Schwachstellen zählen zwei mit hoher und sechs mit mittlerer Schwere.

Einige der identifizierten Sicherheitslücken umfassen:

Die PHP Foundation hebt in einem Blogbeitrag hervor, dass aufgrund eingeschränkter Budgetmittel nur die kritischsten Komponenten des Quellcodes geprüft wurden. Zu den überprüften Komponenten gehören unter anderem der PHP-FPM (FastCGI Process Manager), der MySQL-Datenbanktreiber und kryptografische Funktionen.

(Bild: nuevoimg / 123rf.com)

Der Autovermieter Hertz und 59 weitere Unternehmen wurden im Januar 2025 mit der Veröffentlichung sensibler Daten im Darknet erpresst. Nun hat das Unternehmen den Datenklau eingeräumt und erste Ergebnisse von Untersuchungen vorgelegt.

In einem nun veröffentlichten Dokument erläutert Hertz den Vorfall. "Cleo ist ein Anbieter, der eine Plattform zum Datentransfer zur Verfügung stellt, die Hertz für begrenzte Zwecke einsetzt", schreibt das Unternehmen. "Am 10. Februar 2025 haben wir bestätigen können, dass Daten von Hertz von unberechtigten Dritten erlangt wurden, die nach unseren Erkenntnissen Zero-Day-Schwachstellen in der Cleo-Plattform im Oktober 2024 und Dezember 2024 missbraucht haben".

Hertz habe umgehend die Daten analysiert, um das Ausmaß des Ereignisses herauszufinden und die Individuen zu identifizieren, deren persönliche Informationen von dem Ereignis betroffen sein könnten. "Wir haben die Analyse am 2. April 2025 abgeschlossen und sind zu dem Schluss gekommen, dass die von dem Vorfall betroffenen persönlichen Daten von Individuen aus der EU Name, Kontaktdaten, Geburtsdatum, Führerscheindaten und Zahlungskartendaten umfassen können. Bei einer kleinen Nummer Betroffener könnten auch die Ausweisdaten von dem Ereignis betroffen sein", erklärt Hertz weiter.

Hertz habe sichergestellt, dass Cleo Schritte unternommen habe, den Vorfall zu untersuchen und die erkannten Schwachstellen anzugehen, heißt es weiter. Strafverfolgungsbehörden wurden bereits informiert, die Benachrichtigung zuständiger Regulierungsbehörden erfolge derzeit. Das Autovermietungsunternehmen hat zudem das Unternehmen Kroll mit einer Darknet-Überwachung bezüglich der Daten der Betroffenen beauftragt. Zwar seien dem Unternehmen keine Missbrauchsfälle mit den abgeflossenen Informationen bekannt, Betroffene sollten jedoch Vorsicht walten lassen, um nicht Opfer von Betrug zu werden. Sie sollten zudem bei Kontoauszügen und Kreditberichten auf nicht autorisierte Aktivitäten achten.

Im Januar ist die Cybergang Cl0p durch eine Sicherheitslücke in der Datentransfersoftware Cleo bei vielen Unternehmen eingebrochen und hat dort dann teils sensible Daten kopiert. Das Geschäftsmodell der kriminellen Gruppierung ist die Erpressung betroffener Unternehmen mit der Androhung der Veröffentlichung der kopierten Daten, sollten die Unternehmen nicht zahlen.

Ubuntu weist aktuell darauf hin, dass der reguläre Support für die Linux-Distribution in Version 20.04 (Focal Fossa), die im April 2020 erschienen ist, in Kürze endet. Als Optionen für Betroffene empfiehlt Ubuntu, entweder eine erweiterte Support-Liznz Ubuntu Pro zu kaufen oder auf das Ubuntu 24.04 zu aktualisieren – allerdings mit kleiner Schleife im Prozess.

Focal Fossa ist eine Long-Term-Support-Version (LTS), die fünf Jahre lang mit Sicherheitsupdates versorgt wird. Damit ist am 29. Mai 2025 Schluss. Ubuntu empfiehlt Nutzern, zu prüfen, ob eine Aktualisierung auf 24.04 – ebenfalls eine LTS-Version – infrage kommt. Der offizielle Migrationspfad erfolgt jedoch über den Zwischenschritt auf Ubuntu 22.04 (auch LTS). Dafür stellt Ubuntu Anleitung und Hinweise auf mögliche Stolperfallen bereit: eine Anleitung für das Upgrade auf Ubuntu 22.04 LTS (Jammy Jellyfish) und im Anschluss die für die Aktualisierung auf Ubuntu 24.04 LTS (Noble Numbat).

Die beiden Versionen erhalten noch aktiv Unterstützung mit Sicherheitsupdates und Fehlerkorrekturen, erörtert das Unternehmen. Für diejenigen, für die das Upgrade nicht infrage kommt, bietet Ubuntu mit Ubuntu Pro das offizielle verlängerte Support-Programm "Expanded Security Maintenance" an.

Ubuntu Pro liefert Aktualisierungen für tausende Pakete für insgesamt zehn Jahre. Vor einem Jahr hat Ubuntu den Support-Zeitraum im Ubuntu-Pro-Programm sogar noch weiter ausgedehnt, Interessierte können zwei weitere Jahre Support buchen. Damit sind sogar zwölf Jahre Support möglich und es lässt sich derzeit sogar noch die Ubuntu-Version 14.04 betreiben, ohne auf Sicherheitsupdates verzichten zu müssen.

Im April 2020 wurde Ubuntu 20.04 veröffentlicht. Die auffälligsten Änderungen betraf optische Neuerungen, Performance-Verbesserungen sowie Unterstützung für das ZFS-Dateisystem.

Atlassian hat für Bamboo, Confluence und Jira Aktualisierungen herausgegeben, die als hohes Risiko eingestufte Sicherheitslücken in den Produkten abdichten sollen. IT-Verantwortliche sollten die Updates zeitnah herunterladen und anwenden.

In der Übersicht der April-Updates von Atlassian gehen die Entwickler auf Details zu den Schwachstellen ein. In Bamboo steckt eine Denial-of-Service-Schwachstelle aufgrund der Drittherstellerkomponente Netplex Json-smart (CVE-2024-57699, CVSS 7.5, Risiko "hoch"). Confluence ist aufgrund der "io.netty"-Komponente ebenfalls für eine Denial-of-Service-Situation anfällig (CVE-2025-24970, CVSS 7.5, Risiko "hoch"). Außerdem können Angreifer eine XML External Entity Injection-Schwachstelle (XXE) in der Bibliothek "org.codehaus.jackson:jackson-mapper-asl" missbrauchen – die Lücke scheint schon gut abgehangen zu sein und hat einen Schwachstelleneintrag von 2019 (CVE-2019-10172, CVSS 7.5, Risiko "hoch").

Eine weitere XXE-Schwachstelle betrifft Jira (CVE-2021-33813, CVSS 7.7, Risiko "hoch"). Zudem können Angreifer aufgrund einer Schwachstelle in der "net.minidev.json-smart"-Bibliothek eine Denial-of-Service-Situation auslösen (CVE-2024-57699, CVSS 7.5, Risiko "hoch"). Jira Service Management enthält ebenfalls eine XXE-Lücke (CVE-2021-33813, CVSS 7.7, Risiko "hoch") und teilt die Schwachstelle in der "net.minidev.json-smart"-Bibliothek mit Jira.

Betroffen sind unterschiedliche Entwicklungszweige der Software, aber zum Korrigieren der sicherheitsrelevanten Fehler stellt Atlassian folgende Versionen bereit:

Im Februar hatte Atlassian ebenfalls Aktualisierungen veröffentlicht, die hochriskante Schwachstellen ausbessern. Dort waren neben Bamboo auch Bitbucket und Jira von den Sicherheitslücken betroffen.