Comretix Blog

Verschiedene Computermodelle von Dell, etwa aus der Alienware- und Inspiron-Serie, sind über eine BIOS-Schwachstelle attackierbar. Außerdem können Angreifer PCs mit der Backuplösung NetWorker attackieren. Derzeit stehen aber noch nicht alle Sicherheitsupdates zum Download bereit.

Anzeige

Wie aus einer Warnmeldung hervorgeht, müssen Angreifer zum Ausnutzen der Schwachstelle (CVE-2024-52541) bereits über hohe Nutzerrechte verfügen und lokalen Zugriff haben. Trotz dieser Hürde gilt der Bedrohungsgrad "hoch" für diese Lücke. Sind die Voraussetzungen erfüllt, können sie ihre Rechte erweitern. Die dagegen abgesicherten BIOS-Ausgaben listet Dell in der Warnmeldung auf.

An der Lücke (CVE-2025-21103 "hoch") in NetWorker können lokale Angreifer ohne Authentifizierung ansetzen und Schadcode auf Systeme schieben und ausführen. Die Ausgabe 19.10.0.7 ist dagegen gerüstet. Das Sicherheitsupdate für die Version 19.11 soll im März folgen, kündigen die Entwickler in einem Beitrag an.

Wie Attacken in beiden Fällen konkret ablaufen könnten, ist derzeit nicht bekannt. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten mit der Installation der Sicherheitsupdates aber nicht zu lange zögern. NetWorker 19.11 bleibt vorerst verwundbar.

Valve hat ein mit Malware infiziertes Free2Play-Spiel aus seinem Steam Store entfernt. Darüber informiert die Sicherheitsfirma Kaspersky in einem aktuellen Blog-Eintrag. Das Piratenspiel "PirateFi" ist demnach in der vergangenen Woche aus dem Store geflogen, nachdem ein Nutzer Valve über einen Malware-Fund informiert hatte.

Anzeige

Ein Screenshot des inoffiziellen Steam-Trackers SteamDB zeigt eine Mail, die Valve anschließend an Spieler von "PirateFi" verschickte. Demnach waren bestimmte Builds von "PirateFi" mit der Malware infiziert. "Sie haben 'PirateFi' auf Steam gespielt, während diese Builds aktiv waren", schreibt Valve in der Mail. "Daher ist es wahrscheinlich, dass diese bösartigen Dateien auf Ihrem Computer gestartet wurden."

Betroffenen Nutzern empfiehlt Valve einen Systemscan mit einer Antivirus-Software. Zudem könne es sinnvoll sein, das System zu formatieren. Laut Kaspersky hat die eigene Antivirus-Software die Malware in "PirateFi" als Trojan.Win32.Lazzzy.gen identifiziert. Die Malware habe sich in der Datei "Howard.exe" versteckt und war programmiert, sich in den Temp-Ordner im AppData-Verzeichnis zu entpacken. Von dort könne sie Browser-Cookies stehlen und sich darüber Zugang zu den Accounts betroffener Nutzer verschaffen. Laut Kaspersky zeigen mehrere Einträge in den Steam-Foren Fälle, in denen sich Angreifer tatsächlich Zugriff auf die Konten von "PirateFi"-Spielern verschaffen konnten. Die originalen Foreneinträge sind mittlerweile aber nicht mehr verfügbar.

Wie viele Personen "PirateFi" gespielt haben, ist unklar. "PirateFi" war kein besonders populäres Spiel, die Webseite Vginsights schätzt, dass das Spiel etwa 1500 Mal heruntergeladen wurde. Gamalytic schätzt die Zahl der Downloads auf 860. Der Tracker von SteamDB zeigt, dass "PirateFi" von maximal fünf Personen gleichzeitig gespielt wurde. In jedem Fall dürfte die Zahl der betroffenen Nutzer sehr gering ausfallen. Das Entwicklungsstudio hinter dem Spiel ist unbekannt.

Valve hat ein mit Malware infiziertes Free2Play-Spiel aus seinem Steam Store entfernt. Darüber informiert die Sicherheitsfirma Kaspersky in einem aktuellen Blog-Eintrag. Das Piratenspiel "PirateFi" ist demnach in der vergangenen Woche aus dem Store geflogen, nachdem ein Nutzer Valve über einen Malware-Fund informiert hatte.

Anzeige

Ein Screenshot des inoffiziellen Steam-Trackers SteamDB zeigt eine Mail, die Valve anschließend an Spieler von "PirateFi" verschickte. Demnach waren bestimmte Builds von "PirateFi" mit der Malware infiziert. "Sie haben 'PirateFi' auf Steam gespielt, während diese Builds aktiv waren", schreibt Valve in der Mail. "Daher ist es wahrscheinlich, dass diese bösartigen Dateien auf Ihrem Computer gestartet wurden."

Betroffenen Nutzern empfiehlt Valve einen Systemscan mit einer Antivirus-Software. Zudem könne es sinnvoll sein, das System zu formatieren. Laut Kaspersky hat die eigene Antivirus-Software die Malware in "PirateFi" als Trojan.Win32.Lazzzy.gen identifiziert. Die Malware habe sich in der Datei "Howard.exe" versteckt und war programmiert, sich in den Temp-Ordner im AppData-Verzeichnis zu entpacken. Von dort könne sie Browser-Cookies stehlen und sich darüber Zugang zu den Accounts betroffener Nutzer verschaffen. Laut Kaspersky zeigen mehrere Einträge in den Steam-Foren Fälle, in denen sich Angreifer tatsächlich Zugriff auf die Konten von "PirateFi"-Spielern verschaffen konnten. Die originalen Foreneinträge sind mittlerweile aber nicht mehr verfügbar.

Wie viele Personen "PirateFi" gespielt haben, ist unklar. "PirateFi" war kein besonders populäres Spiel, die Webseite Vginsights schätzt, dass das Spiel etwa 1500 Mal heruntergeladen wurde. Gamalytic schätzt die Zahl der Downloads auf 860. Der Tracker von SteamDB zeigt, dass "PirateFi" von maximal fünf Personen gleichzeitig gespielt wurde. In jedem Fall dürfte die Zahl der betroffenen Nutzer sehr gering ausfallen. Das Entwicklungsstudio hinter dem Spiel ist unbekannt.

Auch wenn sich die deutsche Umsetzung der europäischen NIS2-Regulierung zur Erhöhung der Cybersicherheit 2024 aufgrund der Neuwahlen verspätet: Die europäischen Vorgaben und der aktuelle Entwurf des deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes zeigen klar, was auf Unternehmen zukommt. Allein in Deutschland sind rund 30.000 Unternehmen direkt von NIS2 betroffen, aber ebenfalls deren IT-Dienstleister und -Lieferanten – denn NIS2 macht auch Vorgaben für die Absicherung der Lieferkette.

Anzeige

In unserer Onlinekonferenz NIS2 – Was jetzt zu tun ist erläutern renommierte IT-Recht- und Cybersicherheitsexperten und -expertinnen wie Prof. Dennis-Kenji Kipker, Manuel Atug und Christina Kiefer,

Die Onlinekonferenz NIS2 – Was jetzt zu tun ist liefert Ihnen kompakt an einem Tag das Know-how, um die Umsetzung der NIS2-Regulierung in Ihrem Unternehmen effizient anzugehen. Bei Buchung bis zum 28.2. erhalten Sie einen Frühbucherrabatt von 20 Prozent.

In den Multifunktionsdruckern von Xerox der Phaser-, Versalink- und WorkCentre-Baureihen haben IT-Sicherheitsforscher Sicherheitslücken entdeckt. Angreifer können dadurch Zugangsdaten ausspähen und abgreifen und sich etwa im Netzwerk einnisten.

Anzeige

Die Schwachstellen haben Mitarbeiter des IT-Sicherheitsunternehmens Rapid7 aufgespürt, wie sie in einem Blog-Beitrag erklären. Demnach sind die Drucker für sogenannte Pass-Back-Angriffe anfällig, bei denen Angreifer die Log-in-Daten verwundbarer Drucker abgreifen können, nachdem sie die Einstellungen am Gerät manipuliert haben. Das gelinge oft, da die Standard-Passwörter in den Druckern meist nicht geändert werden, schreiben die Autoren der Erklärung solch einer Attacke.

Mit dem Zugriff auf das Adressbuch können Angreifer SMB- und FTP-Einstellungen ändern, die Ausgabe von gescannten Dokumenten umleiten und Zugangsdaten abgreifen, ist der Schwachstellenbeschreibung zu entnehmen (CVE-2024-12511, CVSS 7.6, Risiko "hoch"). Dazu muss die Scan-Funktion aktiviert sein und der Druckerzugriff etwa aus dem Intranet möglich sein. Die zweite Lücke können Angreifer durch Zugriff auf die LDAP-Einstellungen missbrauchen, lautet die Beschreibung, und dort die Authentifizierung auf einen anderen Server umleiten. Dadurch können sie Zugangsdaten erlangen, sofern sie Admin-Zugang und ein aktives LDAP-Setup haben (CVE-2024-12510, CVSS 6.7, mittel).

Rapid7 erläutert die vorgefundenen Sicherheitslücken detailliert. Xerox hat mit einer eigenen Sicherheitsmitteilung reagiert und nennt darin aktualisierte Systemsoftware für die betroffenen Geräte. Verwundbar sind demnach Xerox Phaser 6510, VersaLink B400/C400/B405/C405, B600/B610, B605/B615, C500/C505/C600/C605, C7000, C7020/C7025/C7030, B7025/B7030/B7035, B7125/B7130/B7135, C7120/C7125/C7130, C8000/C9000, C8000W sowie WorkCentre 6515. Die einzelnen Firmware-Updates haben die Autoren in der Tabelle des Xerox-Dokuments verlinkt. IT-Verantwortliche sollten die Aktualisierung zügig vornehmen und unbedingt die Standard-Zugangsdaten der Geräte durch individuelle ersetzen, sofern das noch nicht geschehen ist.

In den Multifunktionsdruckern von Xerox der Phaser-, Versalink- und WorkCentre-Baureihen haben IT-Sicherheitsforscher Sicherheitslücken entdeckt. Angreifer können dadurch Zugangsdaten ausspähen und abgreifen und sich etwa im Netzwerk einnisten.

Anzeige

Die Schwachstellen haben Mitarbeiter des IT-Sicherheitsunternehmens Rapid7 aufgespürt, wie sie in einem Blog-Beitrag erklären. Demnach sind die Drucker für sogenannte Pass-Back-Angriffe anfällig, bei denen Angreifer die Log-in-Daten verwundbarer Drucker abgreifen können, nachdem sie die Einstellungen am Gerät manipuliert haben. Das gelinge oft, da die Standard-Passwörter in den Druckern meist nicht geändert werden, schreiben die Autoren der Erklärung solch einer Attacke.

Mit dem Zugriff auf das Adressbuch können Angreifer SMB- und FTP-Einstellungen ändern, die Ausgabe von gescannten Dokumenten umleiten und Zugangsdaten abgreifen, ist der Schwachstellenbeschreibung zu entnehmen (CVE-2024-12511, CVSS 7.6, Risiko "hoch"). Dazu muss die Scan-Funktion aktiviert sein und der Druckerzugriff etwa aus dem Intranet möglich sein. Die zweite Lücke können Angreifer durch Zugriff auf die LDAP-Einstellungen missbrauchen, lautet die Beschreibung, und dort die Authentifizierung auf einen anderen Server umleiten. Dadurch können sie Zugangsdaten erlangen, sofern sie Admin-Zugang und ein aktives LDAP-Setup haben (CVE-2024-12510, CVSS 6.7, mittel).

Rapid7 erläutert die vorgefundenen Sicherheitslücken detailliert. Xerox hat mit einer eigenen Sicherheitsmitteilung reagiert und nennt darin aktualisierte Systemsoftware für die betroffenen Geräte. Verwundbar sind demnach Xerox Phaser 6510, VersaLink B400/C400/B405/C405, B600/B610, B605/B615, C500/C505/C600/C605, C7000, C7020/C7025/C7030, B7025/B7030/B7035, B7125/B7130/B7135, C7120/C7125/C7130, C8000/C9000, C8000W sowie WorkCentre 6515. Die einzelnen Firmware-Updates haben die Autoren in der Tabelle des Xerox-Dokuments verlinkt. IT-Verantwortliche sollten die Aktualisierung zügig vornehmen und unbedingt die Standard-Zugangsdaten der Geräte durch individuelle ersetzen, sofern das noch nicht geschehen ist.

Der Schutz vertraulicher Daten – etwa in Form von Passwörtern, kryptografischen Schlüsseln, personenbezogenen Informationen oder sensiblen Geschäftsgeheimnissen – ist eine der zentralen Herausforderungen für Softwareentwicklerinnen und -entwickler. Während sich viele Sicherheitsmaßnahmen auf die Verschlüsselung von Daten bei der Speicherung (at rest) oder während der Übertragung (in transit) konzentrieren, bleibt ein oft unterschätzter Angriffsvektor bestehen: der Schutz sensibler Informationen im Arbeitsspeicher (in memory).

Anzeige

Daten, die im Speicher gehalten werden, sind potenziell angreifbar durch verschiedene Methoden wie Speicherauszüge (Memory Dumps), Heap-Analysen, Seitenkanalangriffe oder unsichere Speicherverwaltung. Vor allem beim Einsatz von Programmiersprachen mit automatischem Speichermanagement, wie beispielsweise Java, stellt sich die Herausforderung, dass Entwickler nur bedingt Kontrolle darüber haben, wann sensible Daten endgültig aus dem Speicher entfernt werden.

Ein effektiver Schutz erfordert daher bewährte Praktiken wie den bewussten Umgang mit Speicherlebenszyklen, die Minimierung der Speicherdauer sensibler Daten, die Vermeidung von Speicherlecks sowie den Einsatz gezielter Mechanismen zur Absicherung des Speichers. In diesem Artikel betrachten wir allgemein bewährte Methoden, Sicherheitsrisiken und konkrete Maßnahmen in Java, um vertrauliche Daten im Speicher wirksam zu schützen.

Um insbesondere die Sicherheit vertraulicher Daten im Arbeitsspeicher gegen Techniken wie Speicherauszüge (Memory Dumps), Heap-Analysen oder Seitenkanalangriffe zu gewährleisten, ist ein strukturierter Schutzansatz erforderlich, der den gesamten Lebenszyklus dieser Daten im Speicher betrachtet. Dieser reicht von der Vermeidung unnötiger Speicherung sensibler Informationen, über eine sichere und kontrollierte Verarbeitung bis hin zum konsequenten und irreversiblen Löschen der Daten.

Das Active Directory ist das Herzstück vieler Unternehmensnetzwerke und stellt daher ein attraktives Ziel für Cyberangriffe dar.

Anzeige

In dem Workshop Active Directory Hardening - Vom Audit zur sicheren Umgebung erwerben Sie umfangreiches Wissen und praktische Fähigkeiten zur Absicherung Ihres Active Directory. Sie lernen, Sicherheitsrisiken zu erkennen, Fehlkonfigurationen zu beheben und Angriffe zu identifizieren und abzuwehren. Hierzu gehören der sichere Umgang mit Authentifizierungsprotokollen sowie die Implementierung von Schutzmaßnahmen wie AppLocker und der Local Administrator Password Solution (LAPS). Zudem kommen Audit-Tools wie PingCastle sowie offensive Werkzeuge wie PowerView und Bloodhound zum Einsatz.

Der Workshop beinhaltet zahlreiche technische Hands-on-Übungen, in denen Sie praxisnah in einer bereitgestellten Übungsumgebung verschiedene Fehlkonfigurationen und Schwachstellen in einem Active Directory selbst auditieren und anschließend entsprechende Schutzmaßnahmen implementieren. Dazu gehören der Umgang mit Authentifizierungsprotokollen, das Erkennen und Schließen von Sicherheitslücken sowie der Einsatz von Tools zur Überprüfung von Einstellungen und die Implementierung von Schutzmaßnahmen wie AppLocker, LAPS und dem Least-Privilege-Prinzip.

Dieser Online-Workshop richtet sich an Administratoren, die sich intensiver mit Angriffen beschäftigen und Ihr On-Premise-Active-Directory härten wollen. In einer kleinen Gruppe von maximal 10 Teilnehmern haben Sie ausreichend Gelegenheit für intensiven Austausch mit dem Trainer und den anderen Teilnehmenden.

Wearables, die sich auch für medizinische Zwecke wie das Messen von Körperfunktionen nutzen lassen, weisen vielfach erhebliche Lücken bei der IT-Sicherheit und beim Schutz der übermittelten Gesundheitsdaten auf. Das geht aus dem Abschlussbericht zum Projekt "Sicherheit von Wearables mit medizinischen Teilfunktionalitäten" (SiWamed) des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Den Ergebnissen zufolge sind viele der getesteten Geräte offen für Angriffe. Schwachstellen in der Verschlüsselung, unzureichend gesicherte Kommunikationskanäle und mangelhafte Authentifizierungsmechanismen können es Übeltätern ermöglichen, sensible Informationen abzufangen oder zu manipulieren.

Anzeige

Zugleich wächst der Markt für solche Health-Wearables laut der Studie rapide, wodurch das Risiko für sicherheitsrelevante Vorfälle steigt. Die Analyse führten die Cybersicherheitsfirma eShard und der Entwicklungsservice Eesy-Innovation im BSI-Auftrag durch. Die erste Fassung des Berichts lag der Behörde schon Ende November 2023 vor, sie hat sie aber erst jetzt veröffentlicht. Die Experten wählten demnach zehn Produkte für "eine detaillierte Sicherheitsuntersuchung" aus. Darunter waren sechs vernetzte Uhren wie Smartwatches, drei Fitness-Tracker und ein Smart Ring. Die Forscher deckten dabei insgesamt 110 Schwachstellen auf, die sie als "mittel" oder "hoch" einstuften. Keines der Geräte war komplett frei von Sicherheitslücken.

Die am häufigsten gefundenen Schwachstellen betreffen die Benutzerauthentifizierung und die Bluetooth-Kommunikation. Bei vielen Geräten werde nicht einmal eine PIN abgefragt, monieren die Tester. Werde geprüft, ob ein berechtigter Anwender Zugang erhalte, gebe es oft Schwächen in der Implementierung. Sieben der acht als "hoch" eingestuften Schwachstellen betrafen das Bluetooth-Protokoll, das als Hauptkanal für die Verbindung des tragbaren Geräts mit der mobilen Anwendung dient. Die meisten der getesteten Apps verfügten zudem über keinerlei Mechanismen zum Anti-Debugging oder zum Erkennen von Rooting. Solche Verfahren könnten zumindest helfen, fortgeschrittene Angreifer abzuwehren und die Daten der Nutzer zu schützen, wenn die Plattform kompromittiert oder die mobile Anwendung angegriffen wird.

Aufgrund der Lücken war es den Forschern teils möglich, die Firmware während des Aktualisierungsprozesses abzuhören. Diese hätte im Anschluss von einem Angreifer analysiert und manipuliert werden können, wenn sie nicht ordnungsgemäß etwa durch Signaturen oder Prüfungen auf Informationslecks geschützt ist. Die Tester stellten auch fest, dass einige Schwachstellen aufgrund der Nutzung einheitlicher Betriebssysteme, Software und gemeinsamer Infrastrukturen immer wieder auftraten. Dies erhöhe die Gefahr "groß angelegter Angriffe auf viele Geräte gleichzeitig". Generell würfen die Resultate in Anbetracht der Sensibilität der verarbeiteten Daten "Fragen und Bedenken auf".

Wearables, die sich auch für medizinische Zwecke wie das Messen von Körperfunktionen nutzen lassen, weisen vielfach erhebliche Lücken bei der IT-Sicherheit und beim Schutz der übermittelten Gesundheitsdaten auf. Das geht aus dem Abschlussbericht zum Projekt "Sicherheit von Wearables mit medizinischen Teilfunktionalitäten" (SiWamed) des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Den Ergebnissen zufolge sind viele der getesteten Geräte offen für Angriffe. Schwachstellen in der Verschlüsselung, unzureichend gesicherte Kommunikationskanäle und mangelhafte Authentifizierungsmechanismen können es Übeltätern ermöglichen, sensible Informationen abzufangen oder zu manipulieren.

Anzeige

Zugleich wächst der Markt für solche Health-Wearables laut der Studie rapide, wodurch das Risiko für sicherheitsrelevante Vorfälle steigt. Die Analyse führten die Cybersicherheitsfirma eShard und der Entwicklungsservice Eesy-Innovation im BSI-Auftrag durch. Die erste Fassung des Berichts lag der Behörde schon Ende November 2023 vor, sie hat sie aber erst jetzt veröffentlicht. Die Experten wählten demnach zehn Produkte für "eine detaillierte Sicherheitsuntersuchung" aus. Darunter waren sechs vernetzte Uhren wie Smartwatches, drei Fitness-Tracker und ein Smart Ring. Die Forscher deckten dabei insgesamt 110 Schwachstellen auf, die sie als "mittel" oder "hoch" einstuften. Keines der Geräte war komplett frei von Sicherheitslücken.

Die am häufigsten gefundenen Schwachstellen betreffen die Benutzerauthentifizierung und die Bluetooth-Kommunikation. Bei vielen Geräten werde nicht einmal eine PIN abgefragt, monieren die Tester. Werde geprüft, ob ein berechtigter Anwender Zugang erhalte, gebe es oft Schwächen in der Implementierung. Sieben der acht als "hoch" eingestuften Schwachstellen betrafen das Bluetooth-Protokoll, das als Hauptkanal für die Verbindung des tragbaren Geräts mit der mobilen Anwendung dient. Die meisten der getesteten Apps verfügten zudem über keinerlei Mechanismen zum Anti-Debugging oder zum Erkennen von Rooting. Solche Verfahren könnten zumindest helfen, fortgeschrittene Angreifer abzuwehren und die Daten der Nutzer zu schützen, wenn die Plattform kompromittiert oder die mobile Anwendung angegriffen wird.

Aufgrund der Lücken war es den Forschern teils möglich, die Firmware während des Aktualisierungsprozesses abzuhören. Diese hätte im Anschluss von einem Angreifer analysiert und manipuliert werden können, wenn sie nicht ordnungsgemäß etwa durch Signaturen oder Prüfungen auf Informationslecks geschützt ist. Die Tester stellten auch fest, dass einige Schwachstellen aufgrund der Nutzung einheitlicher Betriebssysteme, Software und gemeinsamer Infrastrukturen immer wieder auftraten. Dies erhöhe die Gefahr "groß angelegter Angriffe auf viele Geräte gleichzeitig". Generell würfen die Resultate in Anbetracht der Sensibilität der verarbeiteten Daten "Fragen und Bedenken auf".

In Broadcoms Brocade SANnav klaffen Sicherheitslücken, durch die Angreifer unbefugt an Zugangsdaten gelangen oder diverse Attacken ausführen können. Aktualisierte Softwarepakete sollen die Schwachstellen ausbessern.

Anzeige

Insgesamt vor fünf Sicherheitslücken in der Storage-Area-Network-Verwaltungssoftware hat Broadcom nun gewarnt. Am schwerwiegendsten stufen die Entwickler eine Lücke ein, durch die Brocade SANnav bei bestimmten Fehlern während der Installation oder eines Upgrades die Verschlüsselungs-Keys in einen Brocade SANnav Supportsave speichert. Angreifer mit erhöhten Rechten zum Zugriff auf die Brocade-Datenbank können diesen Verschlüsselungs-Key nutzen, um an Passwörter zu gelangen, die SANnav einsetzt.

Der Docker-Daemon in Brocade SANnav läuft ohne sogenanntes Auditing. Das ermöglicht angemeldeten Angreifern aus dem Netz, diverse Attacken auszuführen. Ursache dafür ist, dass Dokcer-Operationen mit erhöhten Rechten und mit unbeschränktem Zugriff im Host-System erfolgen.

Weiterhin ist die Verschlüsselung für SSH auf Port 22 unsicher: Brocade SANnav aktiviert veraltete SHA1-Einstellungen für den Fernzugriff. Das macht die Verschlüsselung für Kollisionsattacken anfällig.

In Broadcoms Brocade SANnav klaffen Sicherheitslücken, durch die Angreifer unbefugt an Zugangsdaten gelangen oder diverse Attacken ausführen können. Aktualisierte Softwarepakete sollen die Schwachstellen ausbessern.

Anzeige

Insgesamt vor fünf Sicherheitslücken in der Storage-Area-Network-Verwaltungssoftware hat Broadcom nun gewarnt. Am schwerwiegendsten stufen die Entwickler eine Lücke ein, durch die Brocade SANnav bei bestimmten Fehlern während der Installation oder eines Upgrades die Verschlüsselungs-Keys in einen Brocade SANnav Supportsave speichert. Angreifer mit erhöhten Rechten zum Zugriff auf die Brocade-Datenbank können diesen Verschlüsselungs-Key nutzen, um an Passwörter zu gelangen, die SANnav einsetzt.

Der Docker-Daemon in Brocade SANnav läuft ohne sogenanntes Auditing. Das ermöglicht angemeldeten Angreifern aus dem Netz, diverse Attacken auszuführen. Ursache dafür ist, dass Dokcer-Operationen mit erhöhten Rechten und mit unbeschränktem Zugriff im Host-System erfolgen.

Weiterhin ist die Verschlüsselung für SSH auf Port 22 unsicher: Brocade SANnav aktiviert veraltete SHA1-Einstellungen für den Fernzugriff. Das macht die Verschlüsselung für Kollisionsattacken anfällig.

Im Packprogramm Winzip haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, Opfern mit manipulierten Archiven Schadcode unterzujubeln. Beim Öffnen einer bösartigen Webseite oder eines sorgsam präparierten Archivs mit Winzip können Angreifer aus dem Netz so beliebigen Code ausführen.

Anzeige

Die IT-Forscher von Trend Micros Zero-Day-Initiative (ZDI) haben die Lücke aufgespürt und eine Sicherheitsmitteilung dazu veröffentlicht. Das Problem besteht beim Verarbeiten von 7-Zip-Dateien (7z). "Das Problem resultiert aus mangelnder Überprüfung von Nutzer-übergebenen Daten, wodurch Schreibzugriffe über die Grenzen eines allokierten Speicherbereichs hinaus möglich sind", erklären die IT-Forscher.

"Angreifer können die Schwachstelle ausnutzen, um beliebigen Code im Kontext des aktuellen Prozesses auszuführen", erörtert das ZDI-Team weiter (CVE-2025-1240, CVSS 7.8, Risiko "hoch"). Entdeckt wurde die Lücke demnach im vergangenen September. Die Sicherheitsmitteilung mit einem CVE-Eintrag erfolgte jetzt vor wenigen Tagen.

Winzip 29.0 enthält die Schwachstelle nicht mehr. In den Release-Notes erwähnen die Entwickler jedoch keine Sicherheitskorrekturen. Allerdings nennen sie aktualisierte RAR- und 7-Zip-Bibliotheken für die Version 29.

Im Packprogramm Winzip haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, Opfern mit manipulierten Archiven Schadcode unterzujubeln. Beim Öffnen einer bösartigen Webseite oder eines sorgsam präparierten Archivs mit Winzip können Angreifer aus dem Netz so beliebigen Code ausführen.

Anzeige

Die IT-Forscher von Trend Micros Zero-Day-Initiative (ZDI) haben die Lücke aufgespürt und eine Sicherheitsmitteilung dazu veröffentlicht. Das Problem besteht beim Verarbeiten von 7-Zip-Dateien (7z). "Das Problem resultiert aus mangelnder Überprüfung von Nutzer-übergebenen Daten, wodurch Schreibzugriffe über die Grenzen eines allokierten Speicherbereichs hinaus möglich sind", erklären die IT-Forscher.

"Angreifer können die Schwachstelle ausnutzen, um beliebigen Code im Kontext des aktuellen Prozesses auszuführen", erörtert das ZDI-Team weiter (CVE-2025-1240, CVSS 7.8, Risiko "hoch"). Entdeckt wurde die Lücke demnach im vergangenen September. Die Sicherheitsmitteilung mit einem CVE-Eintrag erfolgte jetzt vor wenigen Tagen.

Winzip 29.0 enthält die Schwachstelle nicht mehr. In den Release-Notes erwähnen die Entwickler jedoch keine Sicherheitskorrekturen. Allerdings nennen sie aktualisierte RAR- und 7-Zip-Bibliotheken für die Version 29.

Google will seinen Safe-Browsing-Ansatz zum sichereren Abruf von Websites und Downloads verbessern. Dabei soll die Analyse von Bedrohungen aus dem Internet nun auf KI-Basis mittels Large Language Model (LLM) Nutzer noch effektiver warnen.

Anzeige

Die Ende vergangenen Jahres bekannt gewordene Erweiterung des Schutzes ist inzwischen live. Wer das Sicherheitsfeature im Webbrowser nutzen möchte, muss es aber manuell aktivieren.

Der Safe-Browsing-Ansatz analysiert unter anderem betrügerische Websites und warnt Nutzer vor dem Besuch, dass Cyberkriminelle auf solchen Seiten persönliche Daten kopieren können. Google gibt an, dass die KI-basierte Variante unter anderem die Erkennungsrate verbessern soll.

Unter macOS konnten wir den neuen KI-Schutz mit Chrome 133.0.6943.99 aktivieren.

Google will seinen Safe-Browsing-Ansatz zum sichereren Abruf von Websites und Downloads verbessern. Dabei soll die Analyse von Bedrohungen aus dem Internet nun auf KI-Basis mittels Large Language Model (LLM) Nutzer noch effektiver warnen.

Anzeige

Die Ende vergangenen Jahres bekannt gewordene Erweiterung des Schutzes ist inzwischen live. Wer das Sicherheitsfeature im Webbrowser nutzen möchte, muss es aber manuell aktivieren.

Der Safe-Browsing-Ansatz analysiert unter anderem betrügerische Websites und warnt Nutzer vor dem Besuch, dass Cyberkriminelle auf solchen Seiten persönliche Daten kopieren können. Google gibt an, dass die KI-basierte Variante unter anderem die Erkennungsrate verbessern soll.

Unter macOS konnten wir den neuen KI-Schutz mit Chrome 133.0.6943.99 aktivieren.

Mittels Mobile Device Management (MDM) können Administratoren Apple-Geräte weitgehend einrichten und steuern. Darunter fallen auch eine Reihe von Funktionen, die eigentlich der Sicherheit dienen, wie sich Apples MDM-Doku entnehmen lässt. Dennoch sollten sich IT-Abteilungen und andere MDM-Verantwortliche genau überlegen, ob sie entsprechende Einstellungen vornehmen. Eine besonders wichtige ist der sogenannte USB-Restricted-Mode. Denn auch dieser kann von Admins auf Wunsch mittels MDM-Einstellungen abgeschaltet werden.

Anzeige

Eigentlich fragen sowohl der Mac als auch ein iPhone oder ein iPad nach, wenn ein USB-C-Gerät eingesteckt wird. Das ist wichtig, weil es verschiedene Angriffsmethoden gibt, die kabelgebunden arbeiten. Das beginnt bei Hacking-"Spielzeugen" wie Rubber Ducky oder dem Flipper Zero und endet mit professionellen Öffnungswerkzeugen, die Polizeibehörden und Geheimdienste verwenden. Entsprechend wichtig sind diese Nachfragen, dass sie eine Geräteverbindung verhindern, über die dann Angriffe erfolgen könnten. Zwar nerven die Prompts viele User, sie dienen aber der Sicherheit.

Wie Apples Dokumentation zu entnehmen ist, dürfen Admins auf Macs nun aber das sogenannte "allowUSBRestrictedMode"-Flag setzen. Es verhindert, dass die Nachfrage überhaupt kommt. Sinn der Sache sei es, dass es in "manchen Umgebungen" notwendig sei, dies zu erlauben, so Apple. Zwar können Nutzer dies grundsätzlich selbst vornehmen, doch müssten sie sich dazu in die Tiefen der Systemeinstellungen begeben, was die wenigsten tun dürften.

Bei iPhones und iPads können Admins wiederum das sogenannte Host-Pairing kontrollieren. Auch hier sollte man äußerst vorsichtig sein. Die Restriktionseinstellung "Allow pairing with non-Apple Configurator hosts" macht es möglich, das Gerät mit potenziell problematischen anderen Maschinen zu verbinden. Apple empfiehlt, dies zu verbieten, damit sichergestellt ist, dass sich ein Firmengerät nicht mit problematischen anderen Geräten verbindet.

Mittels Mobile Device Management (MDM) können Administratoren Apple-Geräte weitgehend einrichten und steuern. Darunter fallen auch eine Reihe von Funktionen, die eigentlich der Sicherheit dienen, wie sich Apples MDM-Doku entnehmen lässt. Dennoch sollten sich IT-Abteilungen und andere MDM-Verantwortliche genau überlegen, ob sie entsprechende Einstellungen vornehmen. Eine besonders wichtige ist der sogenannte USB-Restricted-Mode. Denn auch dieser kann von Admins auf Wunsch mittels MDM-Einstellungen abgeschaltet werden.

Anzeige

Eigentlich fragen sowohl der Mac als auch ein iPhone oder ein iPad nach, wenn ein USB-C-Gerät eingesteckt wird. Das ist wichtig, weil es verschiedene Angriffsmethoden gibt, die kabelgebunden arbeiten. Das beginnt bei Hacking-"Spielzeugen" wie Rubber Ducky oder dem Flipper Zero und endet mit professionellen Öffnungswerkzeugen, die Polizeibehörden und Geheimdienste verwenden. Entsprechend wichtig sind diese Nachfragen, dass sie eine Geräteverbindung verhindern, über die dann Angriffe erfolgen könnten. Zwar nerven die Prompts viele User, sie dienen aber der Sicherheit.

Wie Apples Dokumentation zu entnehmen ist, dürfen Admins auf Macs nun aber das sogenannte "allowUSBRestrictedMode"-Flag setzen. Es verhindert, dass die Nachfrage überhaupt kommt. Sinn der Sache sei es, dass es in "manchen Umgebungen" notwendig sei, dies zu erlauben, so Apple. Zwar können Nutzer dies grundsätzlich selbst vornehmen, doch müssten sie sich dazu in die Tiefen der Systemeinstellungen begeben, was die wenigsten tun dürften.

Bei iPhones und iPads können Admins wiederum das sogenannte Host-Pairing kontrollieren. Auch hier sollte man äußerst vorsichtig sein. Die Restriktionseinstellung "Allow pairing with non-Apple Configurator hosts" macht es möglich, das Gerät mit potenziell problematischen anderen Maschinen zu verbinden. Apple empfiehlt, dies zu verbieten, damit sichergestellt ist, dass sich ein Firmengerät nicht mit problematischen anderen Geräten verbindet.

Zahlreiche HP-Laserdrucker sind von Schwachstellen betroffen, durch die Angreifer Schadcode einschleusen und ausführen können. Der Hersteller stellt aktualisierte Firmware zum Schließen der Sicherheitslücken bereit. IT-Verantwortliche sollten sie rasch installieren.

Anzeige

In einer Sicherheitsmitteilung warnt HP vor den Sicherheitslücken. Bei den Details gibt sich HP zugeknöpft: "Bestimmte HP Laserjet Pro-, Laserjet Enterprise- und HP Laserjet Managed-Drucker könnten möglicherweise anfällig für Codeschmuggel aus dem Netz und die Ausweitung der Rechte beim Verarbeiten eines Postscript-Druckauftrags sein", lautet die beschwichtigende Zusammenfassung. Weitere Details sind jedoch Fehlanzeige.

Insgesamt handelt es sich um ein Bündel von drei Sicherheitslücken, die sich die Beschreibung teilen. CVE-2025-26506 erhält die CVSS-Bewertung 9.2 und stellt somit ein kritisches Risiko dar, CVE-2025-26508 gilt hingegen mit CVSS 8.3 als hoher Bedrohungsgrad. Die dritte Schwachstelle CVE-2025-26507 bewerten die Entwickler mit CVSS 6.3 als mittleres Risiko.

Die Anzahl der betroffenen Druckermodelle geht in die Hunderte, allein die Auflistung der teils zusammengefassten Baureihen addiert sich auf 120 Geräte-Serien. Sie alle aufzulisten, würde den Rahmen der Meldung sprengen, daher sei auf die Auflistung in der Sicherheitsmitteilung verwiesen. Admins sollten nachsehen, ob verwundbare Modelle in ihren Netzen arbeiten und die bereitstehenden Firmware-Updates zeitnah herunterladen und installieren.