Comretix Blog

Mit iOS 26.1, macOS 26.1, iPadOS 26.1, watchOS 26.1, tvOS 26.1 und visionOS 26.1, die seit Montagabend bereitstehen, hat Apple auch zahlreiche Sicherheitslücken geschlossen. Neben den neuen Systemen wurden auch ältere gepatcht – allerdings nur auf dem Mac. iOS 18 und iPadOS 18 blieben zunächst gänzlich ohne Update, was Nutzer letztlich zwingt, auf iOS 26.1 und iPadOS 26.1 zu aktualisieren, um ihre Systeme abzudichten. Ob Apple ein Patchpaket für das beliebte ältere System für iPhones und iPads nachlegen wird, bleibt unklar.

iOS 26.1 und iPadOS 26.1 enthalten 45 sicherheitsrelevante Verbesserungen, plus 16 weitere Patches, die Apple (leider) nicht näher ausführt, sondern denen nur Credits (also die Auffinder) zugeordnet wurden. Betroffen sind nahezu alle Bereiche vom Kernel über die Installationsroutine, die Account-Steuerung, die integrierten KI-Modelle und die Fotos-App bis hin zum Browser Safari mit diversen geschlossenen WebKit-Lücken.

Bereits bekannte Exploits scheint es nicht zu geben, zumindest führt Apple keine auf. Die Lücken führen potenziell zu App- und System-Abstürzen, entfleuchten Daten, dem Nachladen unerwünschter Inhalte, der Aktivierung der Gerätekamera ohne Genehmigung und einige problematische Fehler mehr – aus der Ferne ausnutzbare Bugs (Remote Exploits) nannte Apple zunächst nicht. iOS und iPadOS 18 bleiben wie erwähnt bei Versionsstand 18.7.1 aus dem vergangenen September. Ob das bedeutet, dass Apple die Pflege ganz einstellt, bleibt unklar. Das wäre unschön, da viele User, die den Liquid-Glass-Look in iOS 26 und iPadOS 26 nicht mögen, zunächst auf iOS 18 und iPadOS 18 geblieben sind. Sie nutzen derzeit unsichere Systeme.

Die Zahl der in macOS 26.1 geschlossenen Lücken ist noch deutlich größer: Es sind sage und schreibe knapp 90 – plus ein Dutzend Bugs, bei denen Apple keine näheren Details publiziert. Mindestens eine der macOS-Lücken ist von außen ausnutzbar – in Form einer Denial-of-Service-Attacke auf die CoreAnimation-Routine. Ansonsten handelt es sich wie auf iPhone und iPad um einen bunten Strauß voller Bugs – von "A" wie Admin Framework (Nutzerdaten können leaken) über "C" wie CloudKit (Sandbox-Ausbruch), "N" wie Networking (iCloud Private Relay dreht sich ab) bis hin zu "s" wie sudo (Apps können sich sensible Daten schnappen). Auch in Safari für macOS steckten jede Menge Fehler in WebKit. Es lassen sich Abstürze auf App- und Systemebene provozieren. Datenschutzrelevant ist zudem eine Lücke in "Wo ist?", die ein Nutzerfingerprinting ermöglicht.

Für macOS Sequoia legt Apple Update 15.7.2, für macOS Sonoma Update 14.8.2 nach. Beide korrigieren, wie bei Apple leider üblich, nicht alle in macOS 26.1 gestopften Lücken, nur wer das neueste Betriebssystem verwendet, ist vollständig sicher. Wie problematisch das ist, lässt sich schwer sagen, da unklar bleibt, wie viele der gefixten Bugs erst mit macOS 26 eingeführt wurden. Details zu den Patch-Paketen für tvOS 26.1, watchOS 26.1 und visionOS 26.1 hat Apple ebenfalls publiziert – auch hier gibt es dutzende Fixes, ein schnelles Update ist angeraten. Schließlich liefert Apple auch noch ein Browser-Einzelupdate auf Safari 26.1 für Sequoia und Sonoma aus. Entwickler bekommen zudem Xcode 26.1, das Lücken im GNU-Framework und in libd stopft (ab macOS 15.6 erhältlich).

Der Webbrowser Edge enthält einen Passwort-Manager "Autofill", dem Microsoft nun den Umgang mit Passkeys beigebracht hat. Ab dem auf dem quelloffenen Chromium basierenden Edge in Version 142 kann der Browser Passkeys speichern und über Windows-Desktop-Geräte hinweg synchronisieren.

In einem Blog-Beitrag erklärt Microsoft die neue Funktion. Das Unternehmen verteilt sie schrittweise in Microsoft Edge 142 unter Windows für Microsoft-Konten (MSA). Sie soll künftig auch auf weiteren Plattformen verfügbar werden.

Passkeys sind ein einfacherer und sichererer Weg, sich in Apps und an Webseiten anzumelden, ohne ein Passwort zu benötigen. Anstatt mit einem Passwort authentifizieren sich Nutzerinnen und Nutzer mit im Gerät verbauten Sicherheitsmechanismen wie Fingerabdrücken, Gesichtserkennung oder einer PIN. Passkeys bauen auf dem FIDO2-Standard auf, der Public-Key-Kryptografie für die sichere Anmeldung nutzt. Im eigenen (lokalen) Konto verbleibt der einzigartige private Schlüssel speziell für die Webseite, während die Website lediglich einen öffentlichen Schlüssel erhält. Microsoft erörtert weiter, dass selbst nach einem Datenleck einer Webseite der Zugang sicher bleibt.

Daher empfiehlt Microsoft den Einsatz von Passkeys. Sie liefern stärkere Sicherheit, es ist schneller und einfacher, sich damit anzumelden – und sie lassen sich mit Passkey-Synchronisation nahtlos über Geräte hinweg einsetzen. Die Privatsphäre steht an erster Stelle, da die biometrischen Daten lokal auf dem Gerät geprüft werden und Webseiten lediglich einen kryptografischen Beweis der Identität erhalten.

Die Speicherung von Passkeys unterstützt Edge derzeit lediglich unter Windows, jedoch plant Microsoft die Ausweitung auf weitere Plattformen. Einen Zeitplan nennt das Unternehmen dafür nicht. Die Passkeys legt Autofill im Microsoft-Konto ab. Die werden durch eine PIN geschützt, die beim erstmaligen Abspeichern eines Passkeys eingerichtet wird. Beim Besuch einer Webseite, die Passkeys unterstützt, erfolgt eine Nachfrage, ob die User einen Passkey in Microsofts Passwort-Manager erstellen wollen. Der dabei erstellte und gespeicherte Passkey kann künftig zum Log-in genutzt werden, mit der bevorzugten Geräteauthentifizierungsmethode, sei es Fingerabdruck, Gesichtserkennung oder ein PIN-Code.

In den USA wurden zwei Männer angeklagt, die während ihrer Anstellung für Cybersicherheitsfirmen selbst Ransomware-Attacken ausgeführt und damit mehr als eine Million US-Dollar erbeutet haben sollen. Das berichtet die Chicago Sun-Times und erklärt, dass einer der beiden für eine Firma namens DigitalMint gearbeitet hat, die Lösegeldverhandlungen führt. Der zweite war demnach bei Sygnia angestellt. Der Konzern simuliert für die Kundschaft unter anderem Ransomware-Angriffe. Beschuldigt wird demnach auch eine nicht identifizierte dritte Person, die ebenfalls für DigitalMint gearbeitet hat. Die Firma hatte die Ermittlungen im Sommer publik gemacht, die ganze Tragweite der vorgeworfenen Handlungen war damals aber nicht deutlich geworden.

Wie die Zeitung aus Chicago ausführt, sollen die beiden Beschuldigten die Ransomware ALPHV eingesetzt haben. Die kann man mieten, im Gegenzug muss ein Teil der Beute an die Verantwortlichen gegeben werden. Die Männer sollen damit einen Hersteller von Medizingeräten aus Florida angegriffen und im Nachhinein erpresst haben. Verlangt hätten sie 10 Millionen US-Dollar für die Rückgabe der gesperrten Daten, bekommen hätten sie 1,27 Millionen. Weitere Angriffe und die Versuche, in einem Fall fünf Millionen US-Dollar, in einem eine Million und in einem 300.000 zu erpressen, blieben demnach erfolglos. Die Angriffe liefen demnach bis zum April dieses Jahres.

Einer der beiden Beschuldigten wurde demnach dann im Juni vom FBI verhört und hat die Vorwürfe anfangs abgestritten. Später hat er sie aber wohl eingestanden und erklärt, dass er die Beute bei dem einen geglückten Angriff in Form von Kryptowährung erhalten und ihre Herkunft mithilfe von Mixing-Diensten zu verschleiern versucht habe. Der US-Bundespolizei gegenüber habe er erklärt, dass er mit dem Geld Schulden habe abbezahlen wollen und fürchte, "für den Rest seines Lebens" ins Gefängnis zu müssen. Nachdem ihm gesagt worden sei, dass das Haus seines Komplizen durchsucht worden sei, habe er später danach auf Google gesucht. Die Anklage folgte dann Anfang Oktober.

DigitalMint hat zwar im Juli eingestanden, dass es Vorwürfe gegen einen Angestellten gibt, damals hieß es aber lediglich, dass sich ein Experte für Lösegeldverhandlungen selbst Anteile davon zugeschustert haben sollte. Dass er selbst hinter Ransomware-Angriffen stecken sollten, war damals nicht öffentlich bekannt. Gegenüber der Chicago Sun-Times hat die Firma jetzt darauf verwiesen, dass ihr in der Anklage kein Wissen um die Taten und keine Beteiligung daran unterstellt wird. Genau wie Sygnia versichert die Firma, die Ermittlungen zu unterstützen, den Tatverdächtigen sei umgehend gekündigt worden.

Russische Netzbetreiber haben damit begonnen, SMS und Anrufe von Whatsapp und Telegram zu blockieren. Damit sollen jene Codes blockiert werden, die für 2-Faktor-Authentifizierung (2FA) neuer oder bestehender Konten der Messenger-Dienste notwendig sind. Parallel greift eine Beschränkung der SIM-Karten, die einzelne Bürger besitzen dürfen.

Dies berichtet die russische IT-Nachrichtenwebseite kod.ru. Die Blockade der SMS und Anrufe war demnach zum 30. Oktober noch nicht von allen Netzbetreibern vollständig umgesetzt. Es dürfte sich allerdings nur um Tage handeln, bis die behördliche verordnete Maßnahme durchgängig umgesetzt ist. Whatsapp ist ein Dienst des US-Konzern Meta Platforms, der von der Russischen Föderation als "extremistisch" eingestuft und verboten ist. Telegram wurde 2013 von einem russischen Brüderpaar gegründet, das den Dienst inzwischen von Dubai aus betreibt. Signal und Viber sind in Russland bereits seit 2024 gesperrt. Neuerdings versuchen die Netzbetreiber auf staatliches Geheiß, auch die Nutzung Telegrams und Whatsapps einzuschränken – nicht nur in der Russischen Föderation selbst, sondern auch in besetzten Gebiete wie der Krim.

Die beiden Messaging-Betreiber haben auf die Sperre reagiert. Hat ein Telegram-Nutzer eine offene Sitzung auf einem anderen Gerät, oder mehrere Konten und eine aktive Sitzung in mindestens einem Konto, schickt den Telegram den 2FA-Code für über den offenen Kanal. Zudem rufen Telegram und Whatsapp bestehende Anwender in Russland über die App dazu auf, ihre E-Mail-Adresse zu hinterlegen. Ratsam ist, eine bei einem ausländischen Provider gehostete Adresse zu verwenden. Sollte Authentifizierung notwendig werden, wollen Telegram und Meta die 2FA-Codes dann per E-Mail zustellen. Das hilft allerdings nur, wenn die Kunden auch tatsächlich ihre E-Mail-Adressen angeben, und es hilft nicht bei der Einrichtung neuer Konten.

Für diese hat sich Telegram einen Trick einfallen lassen: Es lädt russische Android-Nutzer dazu ein, ihr Handy zum Versand von maximal 100 SMS pro Monat freizugeben. Dann kann Telegram die 2FA-Codes über private russische Handys innerhalb des Landes versenden. Das soll die Zensur unterlaufen. Allerdings ist das heikel für die Teilnehmer, könnten sie doch den Argwohn des Regimes erregen, was ungesund sein kann.

Laut kod.ru probiert Telegram dieses Verfahren gerade mit einer kleinen Anzahl russischer User aus. Die Teilnahme am "Peer-to-Peer Login Program" ist freiwillig. Ab einer gewissen Anzahl tatsächlich versandter SMS gibt es als Dankeschön einen Geschenklink für ein Premium-Abo Telegrams, der an Dritte weitergegeben werden kann. Premium-Nutzer werden nicht mit Werbung bedacht, können größere Dateien versenden, und profitieren von schnelleren Downloads sowie anderen Vorteilen.

Die EU-Kommission hat angekündigt, sie werde "unverzüglich" die Finanzierung von Einzelpersonen oder Organisationen stoppen, die in "schwerwiegendes berufliches Fehlverhalten" verwickelt sind. Hintergrund ist eine Recherche von Follow the Money (FtM), wonach in den vergangenen Jahren EU-Gelder in Millionenhöhe direkt an kommerzielle Spyware-Firmen geflossen sind.

Das Portal FtM deckte im September in Zusammenarbeit mit anderen Medienpartnern auf, dass die Spyware-Industrie hohe Subventionen von der EU kassiert und gleichzeitig deren Bürger überwacht. Demnach hat etwa die Intellexa-Gruppe, die den Staatstrojaner Predator entwickelt, über mit ihr verbundene Firmen öffentliche Finanzspritzen insbesondere über Innovationsprogramme eingesackt. Cognyte, CyGate und Verint sollen als weitere Produzenten von Überwachungstechnologien wie Spyware ebenfalls finanzielle Unterstützung aus EU-Quellen erhalten haben. Deren Lösungen werden häufig im Kontext von Menschenrechtsverletzungen genannt.

39 EU-Abgeordnete aus vier Fraktionen forderten daraufhin in einem gemeinsamen Brief von der Kommission konkrete Antworten. Die Volksvertreter monierten, die EU finanziere – offenbar ungewollt – Instrumente, die in Mitgliedstaaten wie Polen, Griechenland, Ungarn sowie autoritären Drittländern für Repressionszwecke eingesetzt wurden beziehungsweise werden. Dies untergrabe die Grundrechte und die Demokratie.

Die Kommission hat es laut dem Schreiben offensichtlich versäumt, die Vertrauenswürdigkeit, Eigentümerstruktur und Menschenrechtskonformität der Unternehmen zu prüfen. Die geforderten Endnutzer-Klauseln oder Dual-Use-Kontrollen, ob ein Produkt sowohl zivil als auch militärisch und polizeilich missbraucht werden könne, würden anscheinend nicht wirksam durchgesetzt. Die Enthüllungen zeigten, dass die Brüsseler Regierungsinstitution Empfehlungen aus dem parlamentarischen Untersuchungsausschuss zu den Spyware-Skandalen in dem hochsensiblen Bereich nicht ausreichend befolge.

In ihrer Stellungnahme erläutert die Kommission laut einem Newsletter von FtM, dass Strafverfolgungsbehörden und Geheimdienste Spyware "rechtmäßig für legitime Zwecke einsetzen" dürften. Sie versäume es jedoch, alle EU-Programme aufzulisten, von denen Überwachungsunternehmen profitiert haben. Es fehlten insbesondere Angaben zu Zuschüssen aus dem Europäischen Sozialfonds und einem weiteren Finanztopf, die an die italienische Überwachungsfirma Area vergeben worden seien.

Eine Zero-Day-Lücke bei der Anzeige von LNK-Dateien in Windows wurde Ende August dieses Jahres bekannt. Microsoft plant bislang keine Korrektur und stuft sie anders als die Zero Day Initiative (ZDI) von Trend Micro nicht als hochriskant ein. Das IT-Sicherheitsunternehmen Arctic Wolf hat Angriffe gegen europäische Diplomaten unter Missbrauch dieser Schwachstelle beobachtet.

In einer Analyse von Arctic Wolf schreiben die IT-Forscher, dass die mit China in Verbindung stehende Cybergruppierung UNC6384 eine aktive Spionagekampagne gegen europäische Diplomaten und diplomatische Einrichtungen etwa in Belgien, Italien, den Niederlanden, Serbien und Ungarn sowie die weitere europäische diplomatische Gemeinschaft ausgeführt hat. Die Kampagne nutzt die LNK-Anzeigeschwachstelle in Windows aus und lief im September und Oktober dieses Jahres. Zudem setzen die Angreifer auf angepasstes Social Engineering.

Die Angriffskette fängt mit Spearphishing-E-Mails an, die eine URL enthalten, die die erste von mehreren Stufen darstellt. Am Ende münden die in der Auslieferung einer bösartigen LNK-Datei, die sich namentlich um Themen von Treffen der EU-Kommission, Workshops mit NATO-Bezug und multilateralen diplomatischen Koordinierungs-Events drehen.

"Diese Dateien nutzen die kürzlich bekannt gewordene Windows-Sicherheitslücke aus, um verschleierte PowerShell-Befehle auszuführen. Die entpacken und verteilen eine mehrstufige Malware-Kette, was schließlich zur Verteilung des PlugX-Remote-Access-Trojaners (RAT) durch DLL-Side-Loading legitimer, signierter Canon-Druckerassistenzprogramme führt", erklären die IT-Forscher von Arctic Wolf.

Die von Microsoft nicht als behebenswert eingestufte Schwachstelle wird also aktiv in Angriffen von Kriminellen missbraucht. Als Gegenmaßnahme steht daher kein Patch von Microsoft zur Verfügung. Arctic Wolf empfiehlt unter anderem, die Nutzung von .lnk-Dateien aus fragwürdigen Quellen zu blockieren und zu beschränken. Dazu sei die Deaktivierung der automatischen Auflösung im Windows Explorer geeignet. Das sollte auf allen Windows-Endpoints umgesetzt werden. Wie das am einfachsten gelingt, ob es etwa eine Gruppenrichtlinie dafür gibt, erörtert Arctic Wolf hingegen nicht konkreter.

Das Landgericht Bielefeld hat in einem Betrugsfall einer Bankkundin, die per SMS auf eine gefälschte Website gelockt wurde, die engen Grenzen des Versicherungsschutzes bei digitalen Betrugsmaschen verdeutlicht. Im Kern geht es darum, dass eine Hausratversicherung mit "Internetzschutz", die explizit das Phishing durch gefälschte E-Mails abdeckt, keine Schäden reguliert, die durch SMS-Phishing entstehen. Das geht aus einem Hinweisbeschluss der Bielefelder Richter vom 25. September hervor (Az.: 22 S 81/25), über den der IT-Rechtler Jens Ferner und Beck Aktuell berichten.

Die Volksbank-Kundin hatte eine täuschend echte SMS erhalten, die sie zur Verlängerung der Registrierung ihrer App fürs Online-Banking, der Anwendung VR-SecureGO Plus, aufforderte und sie auf eine gefälschte Login-Seite weiterleitete. Dort gab die Betroffene ihre Zugangsdaten ein und autorisierte so über ihre Legitimations-App unwissentlich die Erstellung einer digitalen Girocard durch die Betrüger, die diese anschließend für Einkäufe in Höhe von fast 5000 Euro nutzten.

Nachdem die Bank eine Erstattung wegen grober Fahrlässigkeit abgelehnt hatte, scheiterte die Klage gegen die Versicherung nicht nur vor dem Amtsgericht Halle/Westfalen. Auch die Berufung vor dem Landgericht ist laut dessen Beschluss aussichtslos, da sie "offensichtlich keine Aussicht auf Erfolg" habe.

Den Bielefelder Richtern zufolge differenzieren die Allgemeinen Versicherungsbedingungen (AVB) der Police, die den Schutz regeln, klar zwischen SMS und E-Mail. Demnach ist eine mobile Kurznachricht "keinesfalls gleichartig" zu einer E-Mail. Das Landgericht betont, dass SMS im Gegensatz zu E-Mails durch ihren Textumfang begrenzt seien und vor allem die Absenderadresse bei einer E-Post Rückschlüsse auf den Absender zulasse. Eine Rufnummer biete diese Möglichkeit bei der SMS nicht.

Die Argumentation der Kundin, "E-Mail" sei als Oberbegriff für elektronische Nachrichten zu verstehen, wies die höhere Instanz zurück. Vielmehr fungiere "elektronische Nachricht" als Oberbegriff für E-Mails, SMS und Messenger-Nachrichten. Damit habe der klare Wortlaut der Bedingungen einen Phishing-Angriff, der per SMS begann, vom Versicherungsschutz ausgeschlossen.

Die Monitoring-Softwares IBM Tivoli Monitoring und Nagios XI sind über mehrere Sicherheitslücken angreifbar. Im schlimmsten Fall können Angreifer Systeme vollständig kompromittieren. Für Nagios XI steht ein Patch zum Schließen der Schwachstellen zum Download bereit. Bei IBM Tivoli Monitoring müssen Admins Hand anlegen.

Mit beiden Tools überwachen Admins IT-Infrastrukturen. Bislang sind noch keine Berichte zu Attacken bekannt. Trotzdem sollten Admins ihre Instanzen zeitnah absichern.

In einer Warnmeldung führen IBMs Entwickler aus, dass entfernte Angreifer mit präparierten URLs an zwei Sicherheitslücken (CVE-2025-3356 "hoch", CVE-2025-3355 "hoch") ansetzen können. Ist eine solche Attacke erfolgreich, können sie im System Dateien einsehen und sogar überschreiben.

Die Schwachstellen stecken konkret in der KT1-Komponente der ITM/ITCAM-Agenten. Dagegen gibt es keinen Patch. Um das Sicherheitsproblem zu lösen, müssen Admins Systeme so umstellen, dass in diesem Kontext ausschließlich TLS-Verbindungen genutzt werden. Wie das geht, steht in einem Supportbeitrag.

Die reparierte Nagios-XI-Version 2026R1 ist schon seit Ende September dieses Jahres verfügbar. Weiterführende Informationen zu den darin geschlossenen Sicherheitslücken wurden aber erst jetzt in der National Vulnerability Database veröffentlicht.

Die US-amerikanische Cybersicherheitsbehörde CISA warnt vor beobachteten Angriffen auf Sicherheitslücken in VMware Aria Operations und VMware Tools von Broadcom sowie XWiki. Die Hersteller stellen Softwareupdates bereit, die die im Internet attackierten Schwachstellen ausbessern.

Die CISA gibt lediglich die Schwachstelleneinträge zu den gemeldeten Angriffen an. Jedwede Informationen zu Art und Umfang der Angriffe oder gar hilfreiche Hinweise wie Indizien für Angriffe (Indicators of Compromise, IOCs) liefert sie leider nicht.

Die in VMware Aria Operations und VMware Tools missbrauchte Sicherheitslücke hat Broadcom Ende September in einer Sicherheitsmitteilung behandelt und aktualisierte Software bereitgestellt. Die Software enthält eine Schwachstelle, die die Ausweitung der Rechte ermöglicht. "Lokale nicht-administrative User mit Zugriff auf eine VM, in der VMware Tools installiert sind und die mittels VMware Aria Operations mit aktiviertem SDMP verwaltet wird, können die Sicherheitslücke zum Ausweiten ihrer Rechte zu 'root' in derselben VM missbrauchen", erklärt der Schwachstelleneintrag (CVE-2025-41244 / EUVD-2025-31589, CVSS 7.8, Risiko "hoch"). Die Lücke schließen VMware Cloud Foundation Operations 9.0.1.0, VMware Tools 13.0.5 und 12.5.4 und VMware Aria Operations 8.18.5 sowie neuere.

Außerdem laufen Angriffe auf eine kritische Sicherheitslücke in der Wiki-Plattform XWiki. Jeder Gastzugang kann durch eine Suche mit 'SolrSearch' beliebigen Schadcode einschleusen und ausführen. Ohne vorheriges Log-in können Angreifer ganze XWiki-Instanzen kompromittieren (CVE-2025-24893 / EUVD-2025-4562, CVSS 9.8, Risiko "kritisch"). Die Schwachstelle haben die Entwickler in XWiki 15.10.11, 16.4.1 sowie 16.5.0RC1 und neueren Fassungen ausgebessert.

IT-Verantwortliche sollten die bereitstehenden Aktualisierungen so rasch wie möglich installieren.

Minimale Container-Images verzichten auf Komponenten wie Shells oder Paketmanager, die zur Laufzeit normalerweise nicht gebraucht werden. Sie sind auch als "distroless" oder "chiseled" Images bekannt. Weil weniger Komponenten weniger Schwachstellen bedeuten, reduzieren diese Images die Angriffsfläche und erhöhen dadurch die Sicherheit.

Schlüsselfertige Images für ein Basis-Linux sowie die Sprachen PHP, Python, Java, C# und Node.js hat Teil 2 der Artikelserie vorgestellt. Diese vorkonfektionierten Images passen jedoch nicht immer zu den eigenen Anforderungen und es kann notwendig sein, eigene zu erstellen. Dieser Artikel zeigt, wie Softwareentwicklerinnen und -entwickler eigene minimale Images basierend auf den Angeboten Ubuntu Chiseled, Chainguard/WolfiOS und Azure Linux bauen (siehe die folgende Tabelle).

Canonical verwendet die Bezeichnung "Chiseled" für minimale, Ubuntu-basierte Images. Ein Blogbeitrag stellt das Chisel-CLI von Ubuntu vor. Chisel ist ein Build-Tool, das Entwickler mit der gewünschten Ubuntu-Version (beispielsweise "24.04") und einer Liste von "Slices" aufrufen, die Chisel zu einem neuen Root-Filesystem zusammenbaut. Dieses Filesystem kopiert man anschließend in ein leeres scratch-Image, wie der Ablaufplan in Abbildung 1 verdeutlicht:

Bau eines Chiseled-Image via Multi-Stage Dockerfile (Abb.1)

Das Ubuntu-Team hat einige (jedoch nicht alle) der offiziellen Ubuntu-Pakete in mehrere Slices aufgeteilt und diese auf GitHub veröffentlicht. Falls Slices für ein gewünschtes Paket fehlen, sollte man auf andere im Artikel erwähnte Ansätze wechseln. Denn bestehende GitHub Issues zeigen, dass reine Feature-Requests lange oder gänzlich ignoriert werden, und der Zeitinvest für die Einarbeitung für eigene Pull Requests (PRs) hoch ist.

Die Eclipse Foundation hat ihren jüngsten Sicherheitsvorfall rund um Open VSX – den Open-Source-Marktplatz für VS-Code-Erweiterungen – aufgearbeitet. In den vergangenen Wochen war bekannt geworden, dass Zugangstokens versehentlich in öffentlichen Repositories gelandet waren. Ein Teil davon wurde missbraucht, um manipulierte Erweiterungen einzuschleusen.

Wie die Stiftung mitteilt, hatte das Cloud‑Sicherheitsunternehmen Wiz mehrere offengelegte Tokens gemeldet, die von Entwicklern unbeabsichtigt veröffentlicht worden waren. Einige davon betrafen Konten auf Open VSX. Die Token wurden unmittelbar nach Bekanntwerden gesperrt. Ein Hack der Infrastruktur habe zu keinem Zeitpunkt stattgefunden – der Vorfall sei allein auf menschliche Fehler zurückzuführen.

Um ähnliche Probleme künftig schneller zu erkennen, führte das Team in Abstimmung mit Microsofts Security Response Center ein neues Präfix‑Format für Tokens ein, das automatisierte Scans erleichtert.

Zeitgleich meldete der Sicherheitsdienstleister Koi Security eine Malware-Welle mit dem Namen "GlassWorm". Sie nutzte einige der geleakten Tokens, um bösartige Open‑VSX‑Erweiterungen zu veröffentlichen. Dabei handelte es sich jedoch laut Eclipse Foundation nicht um einen klassischen Wurm, der sich selbst verbreitet, sondern um Schadcode, der gezielt Entwickleranmeldedaten stahl.

Alle betroffenen Erweiterungen wurden umgehend entfernt, und sämtliche kompromittierten Tokens widerrufen. Die Berichte über rund 35.800 Downloads seien laut Eclipse übertrieben, da viele Abrufe von Bots oder durch Sichtbarkeits-Tricks erzeugt worden seien.

In Episode 146 des c't-Datenschutz-Podcasts widmen sich Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich einem Grundsatzthema: Wo steht steht der Datenschutz zwischen notwendiger Machtbegrenzung und störendem Innovationshindernis? Juraprofessorin Hannah Ruschemeier beschäftigt sich genau mit derlei Fragen. Sie forscht an der Universität Osnabrück zu KI-Regulierung, Plattformrecht und den Herausforderungen der digitalen Transformation. Auf dem DatenTag der Stiftung Datenschutz hatte sie jüngst ihre Thesen zur "Datenmacht" in einer Keynote zusammengefasst.

Prof. Hannah Ruschemeier erläutert im c't-Podcast ihre Ansichten zur Datenmacht der US-Tech-Konzerne.

Ruschemeier bestreitet vehement, dass Datenschutz obsolet oder gar tot sei. Sie beobachte zwar eine gewisse Resignation in der Gesellschaft, sehe aber gerade deshalb die Notwendigkeit für mehr Aufklärung. Viele Menschen verstünden nicht, was mit ihren Daten passiert und welche Macht große Tech-Konzerne damit ausüben. Diese "informationelle Machtasymmetrie" zwischen Datenkonzernen und Verbrauchern hält sie für ein zentrales Problem.

Besonders kritisch sieht die Professorin das Geschäftsmodell vieler Tech-Giganten, die nach dem Prinzip "move fast and break things" Fakten schaffen und sich erst später um rechtliche Konformität kümmern. Während Meta oder Google Milliardenstrafen quasi aus der Portokasse zahlen können, kämpfen kleine und mittlere Unternehmen mit hohen Compliance-Kosten. Diese Asymmetrie zeige sich auch im mangelnden Vollzug: Große Player würden unzureichend belangt, während kleinere Betriebe unter der Bürokratielast leiden.

Aus der Praxis berichtet Heidrich, dass die bürokratischen Hürden für Start-ups und kleine Unternehmen enorm sein können. Seiner These, dass Datenschutz durchaus Innovationen ausbremse, steht Ruschemeier allerdings kritisch gegenüber. Sie fordert hier eine differenziertere Sichtweise. Der Begriff "Innovation" dürfe kein Totschlagargument gegen jede Regulierung sein. Vielmehr müsse man fragen, wem eine Neuerung nützt. Sie plädiert für stärker gemeinwohlorientierte Definitionen und Entwicklungen. Regulierung schütze, statt zu hemmen – Europa solle stolz auf seinen starken Grundrechtsschutz sein.

Eine Schwachstelle in der Netzwerk-Monitoring-Software Checkmk kann dazu führen, dass Angreifer Javascript-Code einschleusen – oder sogar unbefugt Befehle ins Betriebssystem durchreichen. Es handelt sich um eine Cross-Site-Scripting-Lücke, die die Entdecker als kritisch einordnen.

Die Sicherheitslücke beschreibt SBA-Research konkret als Stored-Cross-Site-Scripting-Schwachstelle. Sie kann auftreten, wenn Checkmk in einem verteilten Monitoring-Setup betrieben wird. In dem Fall kann jede verbundene Remote-Site Javascript-Code in das Userinterface der zentralen Site injizieren (CVE-2025-39663, CVSS 9.1, Risiko "kritisch"). Angreifer, die Kontrolle über eine verbundene Remote-Site haben, können demzufolge durch Ansicht des Status der Hosts oder Dienste der Remote-Site die Kontrolle über Web-Sessions übernehmen. Attackieren bösartige Akteure eine Admin-Session, ermöglicht das die Ausführung von Code aus dem Netz (RCE) in der zentralen Site.

Die IT-Forscher zeigen in der Schwachstellenbeschreibung auch einen Proof-of-Concept (PoC), der die Lücke ausnutzt. Sie führen weiter vor, wie es bei attackierten Admin-Sitzungen dadurch zur Ausführung von Befehlen im Betriebssystem kommen kann.

Die vor Kurzem veröffentlichten Versionen 2.4.0p14 sowie 2.3.0p39 von Checkmk schließen die Sicherheitslücke. In der Sicherheitsmitteilung empfehlen die Autoren, zügig auf diese Versionen zu aktualisieren. Admins sollten die Aktualisierungen auch deshalb rasch anwenden, da Angreifer mit dem verfügbaren PoC die Schwachstelle leicht missbrauchen können. Die IT-Forscher von SBA-Research empfehlen zudem, die Option "Trust this site completely" für alle Remote-Sites zu deaktivieren.

Erst vor kurzem hatte Checkmk aktualisierte Software herausgegeben, die eine Rechteausweitungslücke im Windows-Agent schloss. Mit einem CVSS-Wert von 8.8 galt sie als hochriskant und schrammte nur knapp am kritschen Status vorbei.

Dem chinesischen Hersteller TP-Link droht in den USA ein Verkaufsverbot seiner Router. Als Grund wird eine von den Geräten ausgehende Sicherheitsgefahr genannt. Momentan ist aber unklar, ob das Weiße Haus angesichts der laut Aussage von US-Präsident Donald Trump positiv verlaufenen Handelsgespräche mit China mit einem Verbot eine neue Auseinandersetzung riskieren möchte.

Mehr als ein halbes Dutzend US-Bundesbehörden unterstützen einen Vorschlag zum Verkaufsverbot der meistverkauften Heimrouter in den Vereinigten Staaten. Wie die Washington Post berichtet, begründen die Behörden dies mit Sicherheitsrisiken durch die Verbindungen des chinesischen Herstellers TP-Link nach Festlandchina. Das US-Handelsministerium (Commerce Department) nahm eine behördenübergreifende Risikobewertung vor. Diese kam zu dem Schluss, dass ein Verbot aus Gründen der nationalen Sicherheit gerechtfertigt sei.

TP-Link dominiert den US-Markt für Router in Privathaushalten und kleinen Unternehmen mit einem geschätzten Marktanteil von 50 Prozent. Das Unternehmen selbst bezifferte seinen Marktanteil im Frühjahr nur mit einem Drittel.

Die Sicherheitsbedenken erstrecken sich über mehrere Bereiche: TP-Link hat seinen Hauptsitz in Shenzhen, China. Damit unterliegt das Unternehmen chinesischen Gesetzen zur nationalen Sicherheit, die Unternehmen zur Zusammenarbeit mit Geheimdiensten verpflichten können. Zudem wurden in der Vergangenheit wiederholt Sicherheitslücken in TP-Link-Produkten entdeckt. Das Unternehmen wird beschuldigt, nicht ausreichend auf gemeldete Schwachstellen zu reagieren.

Besonders problematisch sehen US-Sicherheitsbehörden, dass TP-Link-Router häufig in kritischer Infrastruktur eingesetzt werden. Die Geräte finden sich nicht nur in Millionen Privathaushalten, sondern auch in kleinen Unternehmen, Regierungsbüros und anderen sensiblen Bereichen. Ein koordinierter Angriff über kompromittierte Router könnte erheblichen Schaden anrichten.

Angreifer können an einer Sicherheitslücke in MOVEit Transfer ansetzen, um Dateiübertragungen zu stören. Ein Update steht zum Download bereit.

Die Entwickler weisen in einem Beitrag auf die Schwachstelle (CVE-2025-10932 "hoch") hin. Sie raten zu einem zügigen Update. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Das Sicherheitsproblem betrifft konkret das AS2-Modul. Die Beschreibung der Lücke liest sich so, als können Angreifer Schadcode hochladen und so dafür sorgen, dass die Dateiübertragungssoftware nicht mehr nutzbar ist.

Davon sind die Versionen bis jeweils einschließlich 2023.0, 2023.1.15 (15.1.15), 2024.0, 2024.1.6 (16.1.6) und 2025.0.2 (17.0.2) bedroht. Die Entwickler versichern, die Lücke in den folgenden Ausgaben geschlossen zu haben:

Weil der Support für 2023.0 und 2024.0 ausgelaufen ist und es keine Sicherheitsupdates mehr gibt, müssen Admins auf eine noch unterstützte Version upgraden. Alternativ gibt es eine Übergangslösung: Um Systeme abzusichern, müssen Admins unter C:\MOVEitTransfer\wwwroot die Dateien AS2Rec2.ashx und AS2Receiver.aspx löschen.

Nach der Installation des Sicherheitsupdates ist noch Arbeit vonnöten: Weil der Patch den Zugriff durch eine Liste mit erlaubten IP-Adressen einschränkt, müssen Admins die jeweiligen Adressen manuell in den Einstellungen (Settings->Security Policies->Remote Access->Default Rules) eintragen. Im Onlinedienst MOVEit Cloud soll bereits eine abgesicherte Ausgabe laufen.

Künstliche Intelligenz entwickelt sich zum wichtigsten Werkzeug in der Cyberabwehr deutscher Unternehmen. Laut der aktuellen IT-Sicherheitsumfrage des eco, des Verbands der Internetwirtschaft, bewerten 88 Prozent der befragten IT-Sicherheitsfachleute die Bedrohungslage als hoch oder sehr hoch. Rund 40 Prozent der Unternehmen setzen bereits aktiv KI-gestützte Systeme ein – etwa zur automatisierten Anomalieerkennung, Analyse von Logdaten oder für Incident-Response-Prozesse.

Ransomware bleibt die häufigste Angriffsform, dicht gefolgt von CEO Fraud, der im Vergleich zum Vorjahr deutlich zugelegt hat. Besonders kritisch sind sogenannte Double-Extortion-Angriffe, bei denen Kriminelle Daten nicht nur verschlüsseln, sondern sie zusätzlich stehlen und zur Erpressung nutzen. Jedes sechste Unternehmen war im vergangenen Jahr von mindestens einem gravierenden Sicherheitsvorfall betroffen.

Positiv bewerten die Studienautoren, dass kein befragtes Unternehmen angab, Lösegeld gezahlt zu haben. Dies deute auf eine wachsende Professionalität im Umgang mit Vorfällen hin, so der eco. Zudem verfügen inzwischen 60 Prozent der Unternehmen über definierte Notfallpläne und führen regelmäßige Mitarbeiterschulungen durch. Fast die Hälfte plant, ihre Sicherheitsbudgets im kommenden Jahr zu erhöhen.

"KI ist ein entscheidender Hebel für mehr Cybersicherheit", erklärte Professor Norbert Pohlmann, eco-Vorstand für IT-Sicherheit. Allerdings erwarten über 90 Prozent der Befragten, dass auch Angreifer zunehmend auf KI zurückgreifen – für täuschend echte Phishing-Mails, Deepfakes oder automatisierte Schwachstellenscans. Der Verband warnt vor überbordender KI-Regulierung, die Unternehmen daran hindern könnte, sich mit denselben Technologien gegen Angriffe zu wappnen.

Alle Ergebnisse der Umfrage finden sich beim eco. Einen Überblick zum aktuellen Stand der IT-Sicherheit bietet außerdem ein aktueller iX-Artikel – von Malware, über SOC-Architekturen bis hin zur KI.

Das kürzlich veröffentlichte Update auf GIMP 3.0.6 bringt nicht nur Verbesserung der Nutzbarkeit, sondern schließt auch handfeste Sicherheitslücken. Jetzt sind die Schwachstellenbeschreibungen verfügbar: GIMP kann bei der Verarbeitung einiger manipulierter Bildformate untergejubelten Schadcode ausführen.

In der Release-Ankündigung schreiben die GIMP-Entwickler nur knapp, dass sie Berichte der Zero-Day-Initiative (ZDI) über potenzielle Sicherheitslücken in einigen der Datei-Import-Plug-ins erhalten haben. "Während diese Probleme sehr unwahrscheinlich mit echten Dateien auftreten", haben die Entwickler "proaktiv die Sicherheit" für diese Import-Komponenten verbessert.

In mehreren Import-Routinen für Bildformate hat die ZDI Sicherheitslücken gemeldet. Und anders als die GIMP-Entwickler sehen die IT-Forscher ein hohes Risiko darin.

Im Parser für XWD-Dateien können manipulierte Dateien demnach einen Heap-basierten Pufferüberlauf provozieren und dadurch Code einschleusen und ausführen (CVE-2025-10934 / EUVD-2025-36722, CVSS 7.8, Risiko "hoch"). Bei ILBM-Dateien kann ein Stack-basierter Pufferüberlauf mit denselben Folgen auftreten (CVE-2025-10925 / EUVD-2025-36713, CVSS 7.8, Risiko "hoch"), FF-Dateien können einen Integer-Überlauf auslösen (CVE-2025-10924 / EUVD-2025-36714, CVSS 7.8, Risiko "hoch").

Ein weiterer Integer-Überlauf befindet sich im WBMP-Parser (CVE-2025-10923 / EUVD-2025-36715, CVSS 7.8, Risiko "hoch"), manipulierte DCM-Dateien können hingegen einen Heap-basierten Puffer überlaufen lassen (CVE-2025-10922 / EUVD-2025-36716, CVSS 7.8, Risiko "hoch") – ebenso HDR-Dateien (CVE-2025-10921 / EUVD-2025-36717, CVSS 7.8, Risiko "hoch"). Schließlich können präparierte ICNS-Dateien zu Schreibzugriffen außerhalb der vorgesehenen Grenzen und in der Folge zur Ausführung eingeschmuggelten Codes führen (CVE-2025-10920 / EUVD-2025-36718, CVSS 7.8, Risiko "hoch").

Im JavaScript-Paketmanager npm waren seit Anfang Juli Pakete mit gut verstecktem Schadcode verfügbar. Das auf Software-Supply-Chain-Security spezialisierte Unternehmen Socket hat zehn Pakete gefunden, die zusammen auf 9900 Downloads kommen. Laut dem Socket-Blog waren sie am 28. Oktober noch auf npm verfügbar, sind dort inzwischen aber nicht mehr zu finden.

Die Pakete laden einen für das Betriebssystem passenden Infostealer nach, der unter Windows, macOS und Linux Zugangsdaten abgreift. Der Angriff ist mehrfach verschleiert.

Die Angreifer setzen bei der Verteilung des Schadcodes auf Typosquatting: Die npm-Pakete tragen ähnliche Namen wie legitime Packages, darunter typescriptjs statt TypeScript und dizcordjs statt discord.js. Socket hat folgende Pakete mit Schadcode gefunden: typescriptjs, deezcord.js, dizcordjs ,dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js und zustand.js.

Die Installationsroutine, die sich im "postinstall" der Konfiguration in package.json befindet, öffnet betriebssystemabhängig ein neues Terminalfenster, in dem sie dann mittels Node die Anwendung app.js startet. Auf die Weise bleibt die Ausführung im Hauptfenster verborgen.

Die Datei app.js verschleiert den Schadcode mit unterschiedlichen Methoden, darunter URL-Encoding und Switch-Anweisungen mit hexadezimalen und oktale Berechnungen:

Der Internationale Strafgerichtshof (IStGH) will sich von Technologie aus den USA unabhängig machen – aus Furcht vor Repressalien Donald Trumps, hat das Handelsblatt erfahren. Die Institution in Den Haag will die bislang auf den Arbeitsplätzen genutzte Microsoft-Software durch OpenDesk ersetzen.

Laut Handelsblatt ist die Entscheidung vor dem Hintergrund von Sanktionen durch die derzeitige US-Regierung unter Präsident Donald Trump gegen Mitarbeiter wie dem Chefankläger Karim Khan zu sehen. Microsoft hatte seinen E-Mail-Zugang einfach gesperrt. Er musste daher zum Schweizer E-Mail-Dienst Proton wechseln. Da der IStGH in hohem Maße auf Dienstleister wie Microsoft angewiesen sei, werde er in seiner Arbeit geradezu gelähmt, hieß es im Mai.

Zudem prüfe die US-Regierung in Washington weitere Maßnahmen gegen den Internationalen Strafgerichtshof, erörtert das Handelsblatt weiter. Auch das könnte die Arbeitsfähigkeit der Einrichtung erheblich einschränken.

Die OpenDesk-Software wird vom Zentrum für Digitale Souveränität (Zendis) entwickelt, einer Firma des Bundes. Ihre Aufgabe ist es, beim Auflösen kritischer Abhängigkeiten von einzelnen Technologieanbietern zu helfen.

Beim Internationalen Strafgerichtshof geht es zwar "nur" um 1800 Arbeitsplätze, die aus der US-Abhängigkeit gelöst werden sollen. Das Handelsblatt sieht das jedoch als Hinweis darauf, dass Geopolitik sich zunehmend um Technologie dreht. Wirtschaft und Politik erkennen die Abhängigkeit von US-amerikanischen Digitalkonzernen als Problem, insbesondere mit Hinblick darauf, dass die USA die Technologie als Druckmittel einsetzen.

Bei Collins Aerospace ist ein weiteres schwerwiegendes IT-Sicherheitsproblem aufgetreten. Ende September kam es bei dem Dienstleister für diverse Flughäfen weltweit zu einem Datenabzug, bei dem das Unternehmen von Ransomware sprach, die Boarding- und Check-in-Systeme offline nahm und in der Folge der Flugbetrieb an den Flughäfen Berlin oder Brüssel beeinträchtigt wurde. Nun hat der Chaos Computer Club (CCC) herausgefunden, dass auch weitere Systeme schlecht gesichert waren und es etwa möglich war, Nachrichten in Flugzeug-Cockpits zu senden.

Das kürzliche Datenleck ging auf Zugangsdaten aus dem Jahr 2022 zurück, die seitdem nicht geändert wurden und aufgrund eines Infostealers ins Internet gelangten. Etwas mehr Kopfschütteln verursacht der nun vom CCC gefundene, mit trivialen Zugangsdaten "geschützte" Zugang. Collins Aerospace betreibt das ARINC Opcenter, mit dem Nachrichten von und zu Flugzeugen verteilt und aufbereitet werden, etwa von Betriebsdaten. Dazu gehören auch ACARS-Nachrichten (Aircraft Communications Addressing and Reporting System), die technische Zustandsdaten, Flugpläne oder auch Verspätungen umfassen.

Der CCC konnte sich mit Benutzername "test" – und IT-Experten vermuten es bestimmt schon – Passwort "test" in das ARINC OpCenter einloggen und dort in den Message Browser gelangen. Ein Eintrag in der Wayback-Machine (PDF) zeigt die Benutzeroberfläche und die Abfrage von Nachrichten zu einem bestimmten Flugzeug. Der Zugang wies die IT-Forscher als "US Navy Fleet Logistics Support Wing" aus.

Mit dem Zugang ließen sich versendete Nachrichten einsehen. Das Portal ermöglicht auch das Senden von Nachrichten ins Flugzeug-Cockpit – was der CCC jedoch ausdrücklich nicht ausprobiert hat.

Die CCC-Analysten haben sowohl die Muttergesellschaft RTX Corporation von Collins Aerospace, als auch das Department of Defense Cyber Crime Center der USA kontaktiert und über die Schwachstelle informiert. Rückmeldungen gab es keine. Jedoch wurde der Zugang inzwischen deaktiviert.