Comretix Blog

Die beiden Software-Plattformen GitHub und GitLab haben neue Sicherheitsfunktionen und -pakete vorgesellt: GitHub Secret Protection, GitHub Code Security und GitLab Open Source Security Hub.

Anzeige

Immer wieder kommt es zu Sicherheitsvorfällen bei den Verzeichnisdiensten, sodass diese stetig ihre Sicherheitsvorkehrungen verstärken. Für GitHub-Profis sind Secret Protection und Code Security im Prinzip nichts Neues, denn zusammen bilden beide Bausteine die altbekannte Sicherheits-Suite GitHub Advanced Security (GHAS) ab. Deren Verfügbarkeit wird nun aber neu geregelt.

Das mit monatlich 49 US-Dollar abgerechnete GHAS stand bislang nur bei GitHub Enterprise oder den Microsoft Azure DevOps-Tarifen zur Auswahl. Um GHAS für Teams aller Größen besser zugänglich zu machen, verteilt GitHub die Funktionen auf die Einzelpakete Secret Protection (monatlich 19 US-Dollar) und Code Security (monatlich 30 US-Dollar). Wer beide braucht, zahlt nicht mehr als bisher. Die neuen Bausteine lassen sich ab dem 1. April 2025 unabhängig voneinander buchen und stehen erstmals auch für GitHub Team zur Verfügung.

GitHub Secret Protection hilft dabei, das Durchsickern von Geheimnissen wie Passwörtern oder API-Schlüsseln zu verhindern, und setzt dazu unter anderem eine KI-gestützte Erkennung, anpassbare Scan-Muster und eine Benachrichtigungsfunktion ein. Mit künstlicher Intelligenz bewaffnet, macht sich auch Code Security ans Werk. Dieses Paket setzt auf Copilot Autofix, um Sicherheitslücken im Programmcode sowie in Pull-Requests aufzuspüren und zu beheben.

Admins von VMware-ESXi-Servern sollten dringend sicherstellen, dass sie eine aktuelle, gegen derzeit laufende Attacken abgesicherte Version installiert haben. Dabei setzten Angreifer an einer "kritischen" Sicherheitslücke an, um Systeme mit Schadcode zu kompromittieren.

Anzeige

Die Schwachstelle (CVE-2025-22224) und deren Ausnutzung sind seit einigen Tagen bekannt. Seitdem sind auch Sicherheitspatches verfügbar. Wie Sicherheitsforscher von Shadowserver nun in Scans zeigen, haben weltweit aber viele Admins offensichtlich bis jetzt nicht reagiert und die Installation der Updates steht noch aus. Zum Zeitpunkt dieser Meldung sind weltweit noch mehr als 41.000 Instanzen verwundbar. Davon sind knapp 2800 Server in Deutschland.

Verfügen Angreifer in einer virtuellen Maschine über Admin-Rechte, können sie aus der VM ausbrechen, um Schadcode im VMX-Prozess des Hostsystems auszuführen. Derzeit gibt es keine Informationen, wer hinter den Attacken steckt und welche Ziele betroffen sind.

In einer Warnmeldung geben die Entwickler von Broadcom an, dass die ESXi-Versionen ESXi70U3s-24585291, ESXi80U2d-24585300 und ESXi80U3d-24585383 gegen die Angriffe gerüstet sind. Darin wurden zudem zwei weitere Lücken geschlossen (CVE-2025-22225 "hoch", CVE-2025-222226 "hoch").

In der neuesten Episode des c't-Datenschutz-Podcasts "Auslegungssache" werfen Redakteur Holger Bleich und Justiziar Joerg Heidrich gemeinsam mit c't-Redakteur Sylvester Tremmel einen kritischen Blick auf ein umstrittenes Urteil des Oberlandesgerichts (OLG) Schleswig. Dieses Urteil verunsichert derzeit Unternehmen, die Rechnungen per E-Mail versenden.

Anzeige

Konkret ging es um eine Rechnung über knapp 15.000 Euro, die ein Handwerker an seinen Kunden per unverschlüsselter E-Mail geschickt hatte. Angeblich unbemerkt wurde diese Rechnung manipuliert, sodass eine falsche Kontonummer zu sehen war. Der Kunde überwies deshalb die Rechnungssumme an Betrüger, und das Geld war weg. Das Gericht gab überraschend dem Kunden recht und entschied, dass der Handwerker die Rechnung hätte Ende-zu-Ende verschlüsseln müssen. So aber hafte er gemäß Art. 82 DSGVO für den entstandenen Schaden und habe keinen Anspruch auf Zahlung der Rechnung.

Details nicht verstanden

c't-Redakteur Sylvester Tremmel in der Auslegungssache

Im Podcast zeigen sich die Experten fassungslos und üben deutliche Kritik am Urteil. Tremmel ist sich sicher, dass das Gericht technische Details offenbar nicht richtig verstanden hat: Es verwechsle Verschlüsselung mit Signatur. Während eine Ende-zu-Ende-Verschlüsselung den Inhalt einer E-Mail vor fremdem Zugriff schützt, stellt eine digitale Signatur sicher, dass die Nachricht unterwegs nicht verändert wird. Tremmel stellt klar: Verschlüsselung allein hätte den Betrug nicht zwingend verhindert, eine Signatur dagegen eher. Zudem funktioniert Ende-zu-Ende-Verschlüsselung nur, wenn beide Seiten – Sender und Empfänger – kooperieren und entsprechende Schlüssel austauschen.

Die Backuplösung Commvault ist verwundbar und Angreifer können Computer kompromittieren. Dagegen gerüstete Versionen sind verfügbar.

Anzeige

In einer Warnmeldung stufen die Entwickler die Sicherheitslücke als "kritisch" ein. Eine CVE-Nummer führen sie aber nicht auf. Bedroht sind diverse Linux- und Windows-Versionen. Die Entwickler versichern, dass sie die Schwachstelle in den Commvault-Ausgaben 11.20.216, 11.28.140, 11.32.87 und 11.36.45 geschlossen haben.

In einem nicht näher beschriebenen Angriffsszenario können Angreifer auf Webservern eine Hintertür einrichten, um sich so Zugriff zu verschaffen. Bislang gibt es keine Berichte zu Attacken. Wie Admins so eine Backdoor erkennen können, führen die Entwickler derzeit nicht aus.

Wenn Angreifer erfolgreich an einer Schwachstelle in Kibana ansetzen, können sie Systeme mit Schadcode verseuchen. Attacken sind aber nicht in jedem Fall ohne Weiteres möglich. Eine dagegen geschützte Version steht zum Download bereit.

Anzeige

Wie die Entwickler in einer Warenmeldung ausführen, sind die Versionen >= 8.15.0 und < 8.17.1 nur attackierbar, wenn Angreifer über Viewer-Role-Rechte verfügen. Als Voraussetzung für Attacken auf die Ausgaben 8.17.1 und 8.17.2 müssen Angreifer über Rechte mit diesen Privilegien verfügen: fleet-all, integrations-all, actions:execute-advanced-connectors.

Ist das gegeben, können sie durch den Upload einer präparierten Datei und das Versenden von manipulierten HTTP-Anfragen Schadcode auf Systemen ausführen. Danach sind Computer in der Regel vollständig kompromittiert. Deswegen ist die Sicherheitslücke (CVE-2025-25012) als "kritisch" eingestuft. Die Lücke schrammt mit dem CVSS Score 3.1 9.9 von 10 knapp an der Höchstwertung vorbei.

Die Entwickler geben an, die Version 8.17.3 gegen die geschilderte Attacke gerüstet zu haben. Können Admins das Update nicht umgehend installieren, sollten sie ihre Installationen mittels einer Übergangslösung schützen. Dafür müssen sie folgenden Wert in der Kibana-Konfiguration anpassen: xpack.integration_assistant.enabled: false.

Gemeinsam mit über zwanzig weiteren zivilgesellschaftlichen Organisationen richtet der Chaos Computer Club (CCC) einen Appell für eine digitale Brandmauer gegen den Faschismus an die künftige Bundesregierung. Die Netzaktivisten führen die Entwicklungen in den USA als Beispiel an, wie Datensammlung und -analyse Demokratie und staatliche Strukturen gefährden. Die Hacker stellen daher zwölf Forderungen in drei Themenbereichen an die künftige Regierung.

Anzeige

Ein klares Bekenntnis gegen Überwachung steht an erster Stelle des Forderungskatalogs. Insbesondere biometrische Massenüberwachung und Vorratsdatenspeicherung sind Netzpolitikern wie Bürgerrechtlern ein Dorn im Auge, die stets vor den negativen Auswirkungen auf Bürgerrechte warnten.

Auch die Forderungen aus dem Abschnitt "Schutz und Sicherheit für alle" sind bereits bekannt, jedoch die Probleme nicht gelöst. Das betont CCC-Sprecherin Elina Eickstädt: "Demokratie braucht sichere und vertrauliche IT-Infrastruktur für alle." Ein Recht auf Ende-zu-Ende-Verschlüsselung und die Abschaffung des Hackerparagraphen stehen demnach auf der Aufgabenliste der möglicherweise schwarz-roten Bundesregierung. Doch auch wirksamer Kinder- und Jugendmedienschutz ohne Einschränkung der Grundrechte stehen auf der Agenda.

Den digitalen öffentlichen Raum zu schützen und den Big-Tech-Unternehmen zu entreißen, steht im Mittelpunkt des letzten Forderungsblock. Dazu gehören gemäß dem CCC-Aufruf robuste Aufsichtsstrukturen – eben jene Strukturen, die "Big Tech" mittels ihres mächtigen Verbündeten im Weißen Haus bekämpfen will. Der Kampf gegen digitale Gewalt, die sich besonders gegen marginalisierte Gruppen richte, solle durch eine gesetzliche Regelung verbessert werden, so die Unterzeichner.

Der IT-Security-Fachmann Tim Philipp hat beim Bundesamt für Migration und Flüchtlinge (BAMF) eine schwerwiegende Sicherheitslücke entdeckt, die sich wegen veralteter Nutzerkonten mit recht skurrilen E-Mail-Adressen wie "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." und insgesamt unzureichenden Schutzmaßnahmen auftat. Darüber erlangte der Experte unter Einsatz geringster Mittel rasch Administrationsrechte auf einem BAMF-System. Bei einem Cyberangriff hätte dies übel enden können: Die Behörde verarbeitet hochsensible personenbezogene Daten von Geflüchteten, darunter Informationen zu Integrationskursen, Unterbringung und familiären Beziehungen sowie biometrische Merkmale.

Anzeige

Um den Zugang zu seinen IT-Systemen zu steuern, führte das BAMF vor einigen Jahren eine "Delegierte Benutzerverwaltung (DeBeV)", erklärt Philipp in einem Bericht über seine Entdeckung. Dabei handle es sich um ein zentrales Identitätsmanagement, das über diverse Fachverfahren hinweg funktioniere. Ein öffentlich einsehbares Dokument mit Nutzungshinweisen zur DeBeV vom April 2018 habe brisante Details enthalten. Anhand von Screenshots der Web-Applikation sei ersichtlich gewesen, dass im Test- und Integrationssystem offenbar ein Account mit der Nutzerkennung "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." existierte. Die Domain sei noch frei gewesen. Philipp sicherte sie sich für 5,97 Euro.

Weiter fand der Sicherheitsforscher in der Dokumentation einen Hinweis auf den Einsatz der "Passwort vergessen"-Funktion bei DeBeV. Um zu prüfen, ob das Mustermann-Konto noch existierte, richtete er ein sogenanntes Catch-All-Postfach ein. Damit landen sämtliche E-Mails an beliebige Adressen unter der registrierten Domain in einer zentralen Inbox. Siehe da: Wenige Sekunden nach dem Drücken auf die Vergessen-Funktion landete ihm zufolge die entscheidende E-Mail in dem Postfach – inklusive Link zum Zurücksetzen des Passworts. Ein Klick auf den Link habe genügt, um ein neues Passwort ohne weitere Authentifizierung oder Zwei-Faktor-Authentifizierung setzen zu können. Die anschließende Anmeldung sei problemlos verlaufen.

Als besonders brisant schätzt es der Autor ein, dass es ihm mit dem neu gesetzten Passwort potenziell möglich gewesen wäre, sich auch in andere IT-Fachverfahren einzuloggen. Darauf habe er "aus ethischen Gründen" zwar verzichtet. Ein Klick auf "Benutzer verwalten" habe aber eine Liste mit 200 bis 300 Nutzerkonten zutage gefördert, die dem BAMF, Kommunen und Forschungseinrichtungen zugeordnet gewesen seien. Einige Nutzer hätten demnach private E-Mail-Adressen für dienstliche Zwecke verwendet, was ein zusätzliches Sicherheitsrisiko darstelle. Der Zugriff auf den Account hätte potenziell weitreichende administrative Rechte ermöglicht, einschließlich der Möglichkeit, Passwörter anderer Konten zurückzusetzen.

In den USA haben CEOs von verschiedenen Firmen und Gesundheitseinrichtungen Erpresserbriefe per Post bekommen. Als Absender findet sich die Ransomwaregang BianLian auf den Kuverts.

Anzeige

Normalerweise verschlüsseln und kopieren Erpressungstrojaner Daten von Opfern und fordern Lösegeld in Form einer digitalen Benachrichtigung ein, welche als Textdatei auf infizierten PCs liegt. Nun berichten unter anderem Sicherheitsforscher von Guidepoint Security über eine neue Masche, bei der eine Erpresserbotschaft als Brief ins Haus von Opfern flattert.

In den auf verschiedene Firmen und Institutionen maßgeschneiderten Anschreiben behaupten die Kriminellen, sich im Zuge einer Cyberattacke Zugriff auf Computersysteme verschafft und sensible Daten von etwa Mitarbeitern oder Patienten kopiert zu haben. Die Lösegeldforderungen sollen sich auf Beträge zwischen 250.000 und 500.000 US-Dollar belaufen. Für Zahlungen findet sich ein QR-Code zu einer Bitcoin-Wallet in den Erpresserbriefen. Wird das Geld nicht bezahlt, drohen die Täter mit einer Veröffentlichung der erbeuteten Daten.

Die Sicherheitsforscher gehen aber davon aus, dass dahinter nicht die Cyberkriminellen von BianLian stecken, sondern Betrüger, die sich den Namen zu eigen machen. In welchem Ausmaß solche Briefe unterwegs sind, ob es die propagierten Attacken überhaupt gab und ob Opfer bereits gezahlt haben, ist bislang unklar.

Microsoft hat Windows 365 Disaster Recovery Plus vorgestellt. Zum jetzigen Zeitpunkt liegt das Disaster-Recovery-Tool als lizenzpflichtiges Add-on für die Windows 365 Enterprise Edition mit Preview-Status vor, ab Frühjahr 2025 soll es allgemein verfügbar sein. Mit Disaster Recovery planen Unternehmen im Voraus, wie sie den Betrieb – insbesondere im Hinblick auf Computer und Daten – nach einem unerwarteten Problem, wie einem Stromausfall oder einem Hackerangriff, wieder aufnehmen können.

Anzeige

Windows 365 Disaster Recovery Plus ist laut Ankündigung für Cloud-PCs gedacht. Die Konfiguration erfolgt über das Intune Admin Center. Administratoren sollen das Tool mit wenigen Klicks einrichten können, so Microsofts Versprechen. Voraussetzung ist bei den Clients eine Lizenz für Windows 365 Enterprise. Nach der initialen Einrichtung erstellt das System automatisch temporäre Cloud-PCs.

Windows 365 Disaster Recovery Plus lässt sich im Microsoft Intune Admin Center konfigurieren und erstellt automatisch temporäre Cloud-PCs.

(Bild: Windows IT Pro Blog)

Die Zentralstelle Cybercrime Bayern erhebt Anklage gegen einen 21-Jährigen aus Berlin. Ermittler werfen ihm vor, in großem Umfang Opfer mit Phishing um ihr Geld gebracht zu haben.

Anzeige

Die Generalstaatsanwaltschaft Bamberg teilt mit, dass dem im März 2024 Verhafteten und seitdem Einsitzenden unter anderem 149 Fälle des "gewerbsmäßigen Computerbetrugs" in der Anklage vor dem Landgericht Bamberg vorgeworfen werden. Aufgrund des Alters des Beschuldigten zu den Tatzeitpunkten wird die Anklage vor der Jugendkammer erhoben. Diese muss noch über die Zulassung der Anklageschrift entscheiden.

Ab Januar 2022 soll der Berliner sich im großen Stil von anderen ausgespähte Zugangsdaten zum Online-Banking bei Sparkassen und anderen Banken aus dem gesamten Bundesgebiet verschafft haben. Im Anschluss hat er den Strafverfolgern zufolge versucht, alleine (oder mit nur teilweise ermittelten Mittätern) die Opfer mittels SMS auf eine Phishing-Seite zu locken und dazu zu bringen, einen Registrierungslink zur Initialisierung des Push-TAN-Verfahrens weiterzuleiten. Aber auch in Telefonaten mit Opfern seien Opfer dazu gebracht worden, diese Information weiterzugeben.

In den meisten Fällen soll der Angeklagte mit dem dadurch möglichen Vollzugriff auf das Online-Konto virtuelle Debitkarten auf seinen Smartphones eingerichtet haben. Damit hat er an NFC-fähigen Bankautomaten Geld abgehoben und in Supermärkten sowie Tankstellen eingekauft, werfen die Ermittler ihm vor. Bis zur Festnahme am 7. März 2024 sind in den etwas mehr als zwei Jahren Geld und Waren im Wert von rund einer halben Million Euro zusammengekommen.

Zwei Sicherheitslücken gefährden IBM Business Automation Workflow. Aktualisierte Versionen schützen Systeme vor möglichen Attacken.

Anzeige

Mit der Anwendung automatisiert man digitale Workflows. Von den Schwachstellen sind IBM Business Automation Workflow containers, IBM Business Automation Workflow traditional und IBM Business Automation Workflow Enterprise Service Bus betroffen. Nutzen Angreifer eine Lücke (CVE-2024-7254 "hoch") erfolgreich aus, können sie Speicherfehler provozieren.

Das führt in der Regel zu Abstürzen. Oft gelangt in so einem Kontext aber auch Schadcode auf Computer und kompromittiert Systeme. In einer Warnmeldung listen die Entwickler die betroffenen und abgesicherten Versionen auf.

Die zweite Schwachstelle (CVE-2024-40094 "mittel") kann zu DoS-Zuständen führen. Derzeit gibt es von IBM keine Hinweise auf bereits laufende Attacken. Admins sollten die Sicherheitsupdates dennoch zügig installieren.

Mozilla hat für alle aktuell unterstützten Firefox- und Thunderbird-Versionen Sicherheitsupdates herausgegeben, Google für den Webbrowser Chrome. Chrome blockiert jetzt zudem etwa den Adblocker µBlock – der lässt sich mit ein paar Handgriffen aber noch mal aktivieren.

Anzeige

Die Mozilla-Entwickler haben Firefox in den Versionen 136, ESR 128.8 sowie ESR 115.21 herausgegeben. Zudem steht der Mailclient Thunderbird in den Fassungen 136 sowie ESR 128.8 zur Installation bereit. Die Security-Advisories listen die in den Versionen geschlossenen Sicherheitslücken auf – darunter einige, die als hohes Risiko gelten und von Angreifern möglicherweise für Codeschmuggel missbrauchbar sind. Aktiv angegriffen wird demnach jedoch noch keine der Lücken.

Google hingegen stopft laut Release-Ankündigung 14 Sicherheitslücken im Webbrowser. Nur zu neun davon liefert Google eine knappe Beschreibung, die anderen Lücken wurden intern gemeldet und gefunden. Lediglich eine Lücke davon stellt demnach ein hohes Risiko für Chrome-Nutzerinnen und -Nutzer dar. Sowohl für die Mozilla-Software als auch den Google-Browser sollten Nutzerinnen und Nutzer sowie Admins sicherstellen, die aktuelle Fassung rasch zu installieren.

Vielen dürfte jedoch negativ auffallen, dass der Browser nach dem Neustart verkündet, die Browser-Erweiterung µBlock deaktiviert zu haben.

Admins von KI-Infrastruktur mit Hardware von Nvidia sollten die HGX-Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer für verschiedene Attacken an zwei Schwachstellen ansetzen.

Anzeige

In einer Warnmeldung gibt Nvidia an, dass konkret Hopper HGX for 8-GPU bedroht ist. Eine Lücke (CVE-2025-0114 "hoch") betrifft den HGX Management Controller (HMC). Um daran ansetzen zu können, muss ein Angreifer aber bereits administrativen Zugriff auf den Baseboard Management Controller (BMC) haben. Ist das gegeben, kann im schlimmsten Fall Schadcode auf Systeme gelangen.

Die zweite Schwachstelle (CVE-2025-0141 "mittel") betrifft GPU vBIOS. An dieser Stelle können Angreifer DoS-Zustände erzeugen. Die Entwickler geben an, die Sicherheitsprobleme in der HGX-Ausgabe 1.6.0 gelöst zu haben. Bislang gibt es keine Berichte zu laufenden Attacken.

Zuletzt kümmerte sich Nvidia um Lücken in den KI-Plattformen Jetson und IGX Orin.

Mit Erscheinen von iOS 18 hatte Apple im September zahlreiche, auch schwere Sicherheitslücken gestopft. Das dazugehörige Supportdokument mit weiteren Informationen, welche Bugs das konkret waren, fiel allerdings wie schon häufiger in der Vergangenheit unvollständig aus. Wie der Mastodon-Account @ApplSec schreibt, der Apple-Sicherheitslücken verfolgt, hat Apple in dieser Woche einige Hintergründe dazu nachgereicht, jedoch noch immer nicht alle. Nutzer und Sicherheitsexperten mussten auf diese fast ein halbes Jahr warten.

Anzeige

Laut @ApplSec wurden insgesamt 15 Bug-Einträge für iOS 18 und iPadOS 18 ergänzt. Erkennbar sind diese am Hinweis, dass der Eintrag am 3. März 2025 vorgenommen wurde. Zu den "frischen" Bugs zählen ein Clickjacking-Problem mit Zugriffsmöglichkeit auf die Fotomediathek, diverse WebKit-Bugs, ein Systemabschuss über die WLAN-Routine, die Möglichkeit, eine sichere WLAN-Verbindung zu unterbrechen, Sandbox-Ausbrüche, Bugs in der Passwörter-App, ein unerwünschtes Auslesen von Kontaktdaten mittels Siri oder ein Fehler im Accessibility-Framework, mit dem Angreifer Geräte in der Nähe "kontrollieren" konnten (wie genau, bleibt unklar).

Hinzu kommen weitere Einträge, bei denen Apple nur den Bereich nennt, in dem ein Bug vorhanden war, aber keine weiteren konkreten Details außer den jeweiligen Tippgeber ("Additional Recognition"). Ob und wann hier Infos nachgeliefert werden, bleibt unklar. Diese Taktik verfolgt der Konzern leider seit langem. Auch schwerwiegende Probleme wie eine mögliche Angriffsform auf das "Wo ist?"-Protokoll wurden hier "versteckt". Neben den Ergänzungen gab es auch Aktualisierungen bestehender Einträge – insgesamt sieben Stück sollen es laut dem Bericht gewesen sein.

Apple hat auch bei seinen anderen Betriebssystemen Ergänzungen und Updates an den Informationsdokumenten zu enthaltenen Fixes vorgenommen. Bei macOS 15 sind es 14 (vier Updates), bei tvOS 18 insgesamt sieben (ein Update), bei watchOS 11 insgesamt fünf (ein Update) und bei visionOS 2 insgesamt acht Ergänzungen. Auch iOS und iPadOS 17.7 sowie macOS 13.7 und macOS 14.7 erhielten Aktualisierungen (jeweils eine plus ein Update bei iOS und iPadOS 17.7).

Der Nachrichtenstrom zu aktuell angegriffenen Sicherheitslücken in Software reißt nicht ab. Die US-amerikanische IT-Sicherheitsbehörde CISA warnt nun vor weiteren Attacken, etwa auf eine Lücke im Linux-Kernel sowie vor den bereits am Dienstag bekannt gewordenen Schwachstellen in VMware-Produkten.

Anzeige

In der Warnung der CISA erörtert die Behörde, dass bösartige Akteure eine Schwachstelle in Linux missbrauchen, die auf nicht initialisierte Ressourcen zurückzuführen ist. Im HID-Core (Human Interface Device, etwa Tastaturen und Mäuse) wurde der Report-Buffer nicht initialisiert, der von allen möglichen Treibern auf diverse Arten genutzt wird. Dadurch kann Kernel-Speicher unbefugt gelesen werden (CVE-2024-50302, CVSS 7.8, Risiko "hoch" – ursprünglich lediglich als CVSS 5.5, Risiko "mittel" eingestuft). Seit November stehen Kernel-Patches und damit aktualisierte Kernel bereit, die den Puffer vor dem Einsatz nullen.

Weiter warnt die CISA vor den bereits angegriffenen Sicherheitslücken in VMware ESXi, Fusion und Workstation. Dafür hatte Broadcom bereits am gestrigen Dienstag eine Sicherheitswarnung herausgegeben, die die US-Behörde nun aufgreift.

Wie üblich erörtert die IT-Sicherheitsbehörde aus den USA nicht, wie die Angriffe aussehen und in welchem Umfang sie auftreten. Allerdings sollten IT-Verantwortliche dringend reagieren und umgehend Gegenmaßnahmen ergreifen, indem sie etwa die bereitstehenden Aktualisierungen anwenden.

In LibreOffice hat das Projekt eine Sicherheitslücke entdeckt. Angreifer können dadurch Makros ausführen lassen. Aktualisierte Software bessert die Schwachstellen aus.

Anzeige

In einer Sicherheitsmitteilung warnen die LibreOffice-Entwickler vor dem Sicherheitsleck. LibreOffice unterstützt Office-URI-Schemes, um die Browser-Integration von LibreOffice mit Sharepoint-Servern zu ermöglichen. Dabei haben die Entwickler noch zusätzlich das URI-Scheme "vnd.libreoffice.command" ergänzt.

Ein sorgsam präparierter Link im Browser kann mit diesem URI-Scheme eine innere URL einbetten, die Makros mit beliebigen Argumenten ausführt, sofern sie von LibreOffice verarbeitet wird. Diese Umgehung von Sicherheitsmechanismen, die etwa die Makro-Ausführung verhindern sollen, korrigieren die Entwickler mit neuen Software-Versionen (CVE-2025-1080, CVSS 7.2, Risiko "hoch").

Die Lücke betrifft LibreOffice 24.8 und 25.2. Die aktuell verfügbaren Fassungen 24.8.5 sowie 25.2.1 korrigieren die sicherheitsrelevanten Fehler. Sie stehen auf der LibreOffice-Download-Webseite zum Herunterladen bereit. Die fehlerkorrigierten Versionen stehen bereits einige Wochen zur Verfügung: LibreOffice 24.8.5.1 erschien am 29. Januar, aktuell ist 24.8.5.2 vom 14. Februar. Die Fassung 25.2.1.1 wurde am 9. Februar veröffentlicht, aktuell ist hier 25.2.1.2 vom 24. Februar.

Google hat eine neue Sicherheitsfunktion für Android-Geräte angekündigt, die Betrugsversuche per künstlicher Intelligenz (KI) erkennen können soll. Dazu überwacht das System die Nachrichten bei Google Messages, aber auch Anrufe, und warnt den Nutzer in Echtzeit vor möglichem Scam. Der Konzern verspricht, dass die Funktion nur auf dem Gerät läuft und die Gespräche privat bleiben. Zunächst wird die Scam-Erkennung in Google Messages auf englischsprachige Länder beschränkt sein, aber künftig auf weitere Regionen erweitert.

Anzeige

Diese KI-Sicherheitsfunktion ist eine Erweiterung der bereits im Oktober des Vorjahres eingeführten Schutzmaßnahmen für Google Messages. Auch hier ging es um den Schutz vor Betrugsversuchen, aber auch um Warnungen vor möglicherweise gefährlichen Links. Vielen Anwendern erst kürzlich aufgefallen ist der Android System SafetyCore, ein Nacktfoto-Warner für Smartphones. Auch in diesem Fall überwacht Android die Nachrichten und warnt vor eventuell sensiblen Inhalten.

Jetzt aber betont der Datenkonzern den Einsatz von KI für die Erkennung von Betrugsversuchen. Unterstützung hat sich Google laut eigenem Security-Blog von Finanzinstituten weltweit eingeholt, um die raffiniertesten und gängigsten Scams zu verstehen, von denen deren Kunden betroffen sind. Oft beginnt der Nachrichtenaustausch zunächst harmlos, aber nach einiger Zeit wird das Opfer dahingehend manipuliert, private Daten herauszugeben, Geld zu überweisen oder zu anderen Messenger-Apps zu wechseln.

Der übliche Scam-Schutz warnt die Nutzer bereits vor Beginn der Konversation vor möglichen Betrugsversuchen und basiert dies auf der Telefonnummer. Doch viele Scammer verschleiern diese oder nutzen Telefonnummern vertrauenswürdiger Unternehmen, sollte sich das Opfer darüber informieren. Deshalb wird der Nachrichtenaustausch in Google Messages künftig laufend überwacht, sodass Android auch während des Gesprächs Warnungen auswirft, sollten verdächtige Nachrichten erkannt werden.

In VMware ESXi, Fusion und Workstation haben die Entwickler Sicherheitslücken ausfindig gemacht, durch die Angreifer etwa aus den virtuellen Maschinen ausbrechen können – und das bereits in freier Wildbahn machen. Aktualisierte Software steht bereit, um die Schwachstellen auszubessern. Admins sollten sie umgehend installieren.

Anzeige

In einer Sicherheitsmitteilung zu den VMware-Produkten erörtert Broadcom die Fehler in der Software. Am schwersten wiegt ein Schwachstelle der Art "Time of Check – Time of use" (TOCTOU), die in Schreibzugriffen außerhalb vorgesehener Speichergrenzen münden kann; es handelt sich um einen Heap-Überlauf. Bösartige Akteure mit Admin-Rechten in einer virtuellen Maschine können das missbrauchen, um Code im VMX-Prozess auf dem Host auszuführen (CVE-2025-22224, CVSS 9.3, Risiko "kritisch").

Zudem können Angreifer eine Sicherheitslücke ausnutzen, die beliebige Schreibzugriffe ermöglicht. Mit etwaigen Berechtigungen innerhalb des VMX-Prozesses können sie beliebige Kernel-Schreiboperation auslösen und damit aus der Sandbox ausbrechen (CVE-2025-22225, CVSS 8.2, Risiko "hoch"). Die dritte Schwachstelle ermöglicht das unbefugte Auslesen von Informationen aufgrund von möglichen Lesezugriffen außerhalb vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Angreifer benötigen Admin-Rechte in einer VM und können dadurch Speicher aus dem VMX-Prozess auslesen (CVE-2025-22226, CVSS 7.1, Risiko "hoch").

Broadcom weist darauf hin, dass dem Unternehmen Hinweise vorliegen, dass alle drei Schwachstellen derzeit bereits attackiert werden. Temporäre Gegenmaßnahmen nennen die Entwickler nicht, es hilft daher nur, die Aktualisierungen so rasch wie möglich herunterzuladen und zu installieren.