Comretix Blog

Auf npm sind kompromittierte Varianten des Pakets "rand-user-agent" aufgetaucht, die einen Remote-Access-Trojaner (RAT) an Bord hatten. Der Random User Agent ist zwar als veraltet gekennzeichnet, kommt aber nach wie vor auf gut 40.000 wöchentliche Downloads. Wer es in den vergangenen Wochen verwendet hat, könnte sich Schadcode eingefangen haben.

Das Paket generiert User-Agents-Strings, also Zeichenketten, die Clients wie Browser an einen Server schicken. Der Herausgeber des Pakets WebScrapingAPI nutzt es für das Web-Scraping. Es lässt sich aber auch für andere Zwecke wie automatisierte Tests oder Sicherheitschecks verwenden.

Die letzte offizielle Version 2.0.82 ist sieben Monate alt, und der Herausgeber WebScrapingAPI hat das Paket als deprecated (veraltet) gekennzeichnet. Das auf der npm-Seite verlinkte GitHub-Repository existiert inzwischen nicht mehr.

Das auf Supply-Chain-Security spezialisierte Unternehmen aikido hat jedoch später veröffentlichte Versionen des Pakets auf npm gefunden. Diese haben in der Datei dist/index.js Schadcode eingeführt, der in der Vorschau auf npm nicht auf Anhieb zu sehen und zudem mehrfach verschleiert war.

Der Code richtet einen verdeckten Kanal zur Kommunikation mit einem Command-and-Control-Server (C2) ein und installiert Module in einem Ordner namens .node_modules. Der Client schickt anschließend unter anderem eine ID und Informationen zum verwendeten Clientbetriebssystem an den Server.

Unter anderem BIG-IP Next Central Manager und Next SPK sind aufgrund von mehreren Sicherheitslücken verwundbar. Auch die Appliances-Betriebssysteme F5OS-A und F5OS-C sind attackierbar. Nun bietet F5 Sicherheitspatches an, die Admins zeitnah installieren sollten. Bislang gibt es keine Berichte zu Attacken.

In einer Übersicht listet F5 neben den betroffenen Produkten auch die jeweils abgesicherten Versionen auf. Admins sollten sich diese Auflistung genau anschauen, um die für sie relevanten Sicherheitspatches ausfindig zu machen und zu installieren.

Am gefährlichsten gilt dem Hersteller eine Schwachstelle (CVE-2025-36546 / EUVD-2025-13944, CVSS 8.1, Risiko "hoch") in F5OS-A und F5OS-C. Appliances sind aber nur verwundbar, wenn Admins die Authentifizierung via SSH erlauben und anschließend den Appliance-Modus aktiviert haben. Das Sicherheitsproblem ist, dass die Anmeldung über einen SSH-Schlüssel dann immer noch möglich ist.

Dafür muss ein Angreifer aber in den Besitz eines SSH-Schlüssels eines Root-Benutzers kommen. Trotz dieser Voraussetzungen und Hürden ist die Lücke mit dem Bedrohungsgrad "kritisch" eingestuft. Die Entwickler versichern, die Schwachstelle in F5OS-A 1.5.3 und 1.8.0 und F5OS-C 1.8.0 geschlossen zu haben. In diesen Ausgaben haben die Entwickler noch weitere Sicherheitslücken beseitigt. So können sich Angreifer etwa höhere Nutzerrechte verschaffen (CVE-2025-46265 / EUVD-2025-13942, CVSS 8.8, "hoch").

Weiterhin sind noch divesers BIG-IP-Appiances wie Next CNF und Next SPK und Module bedroht. An diesen Stellen sind unter anderem DoS-Attacken (CVE-2025-41399 / EUVD-2025-13946, CVSS 7.5, "hoch") möglich. Angreifer können aber auch eigene Befehle ausführen (CVE-2025-31644 / EUVD-2025-13936, CVSS 8.7, "hoch"), um Systeme zu manipulieren.

Neue Sicherheitslücken haben IT-Forscher in den Sonicwall SMA100-Firewalls entdeckt. Durch eine Verkettung mehrerer der als hochriskant eingestuften Schwachstellen können Angreifer die Kontrolle über verwundbare Geräte übernehmen.

In einer Sicherheitsmitteilung beschreiben die Sonicwall-Entwickler die Sicherheitslücken. Als am gravierendsten haben sie eine Schwachstelle im SSL-VPN eingestuft, durch die Angreifer aus dem Netz nach einer Anmeldung eine Pfad-Prüfung auf Path-Traversal umgehen und dadurch beliebige Dateien löschen können. SMA100-Geräte lassen sich dadurch auf Werkseinstellungen zurücksetzen, die nach einem Neustart aktiv werden (CVE-2025-32819 / EUVD-2025-13910, CVSS 8.8, Risiko "hoch"). Die Einstufung als "kritisches" Risiko verpasst die Lücke nur sehr knapp.

Aufgrund einer zweiten Lücke können angemeldete Angreifer aus dem Netz mit User-Rechten eine Path-Traversal-Sequenz einschleusen und damit jedes Verzeichnis auf SMA100-Appliances schreibbar machen (CVE-2025-32820 / EUVD-2025-13913, CVSS 8.3, Risiko "hoch"). Die dritte Sicherheitslücke ermöglicht bösartigen Akteuren aus dem Netz mit SSL-VPN-Adminrechten, Kommandozeilenbefehle als Argumente bei einem Dateiupload auf die Appliances einzuschmuggeln (CVE-2025-32821 / EUVD-2025-13911, CVSS laut EUVD 7.1, Risiko "hoch").

Die IT-Sicherheitsforscher von Rapid7 haben die Schwachstellen genauer analysiert und die Erkenntnisse detailliert in einen Blog-Beitrag gegossen. Sie zeigen, wie sie die Sicherheitslecks verknüpfen, um mit Zugriff auf ein SSL-VPN-Konto ein wichtiges Systemverzeichnis schreibbar machen, ihre Rechte zum SMA-Admin erhöhen und eine ausführbare Datei in ein Systemverzeichnis schreiben. Dadurch können sie beliebigen Code aus dem Netz einschleusen und ausführen – mit "root"-Rechten.

Betroffen sind die Sonicwall-Appliances der SMA100-Baureihe, konkret nennt der Hersteller SMA 200, 210, 400, 410 und 500v. Die sind mit Firmware-Ständen 10.2.1.14-75sv oder älter angreifbar. Das Problem behebt das Update auf den Stand 10.2.1.15-81sv und neuer der Firmware.

Zum Start der Outdoor-Saison werden viele mit dem Gedanken spielen, sich ein neues Fahrrad oder Radzubehör zu kaufen – vielleicht im Internet. Vor einer Bestellung bei unbekannten Onlineshops sollte man diese aber unbedingt genau prüfen, um nicht auf einen Fakeshop hereinzufallen. Aktuell warnt die Verbraucherzentrale Niedersachsen beispielsweise vor der betrügerischen Webseite "Fahrrad-Discount24.de".

Diese macht sich nicht mit durchgängig unglaubwürdig günstigen Preisen verdächtig. Und sie ist auch auf den zweiten Blick kaum als Fakeshop zu erkennen: Professionelle Gestaltung, viele Informationen, ein Impressum, Allgemeine Geschäftsbedingungen und Kontaktangaben geben erst einmal keinen Anlass für Zweifel – typisch für moderne Betrugsseiten.

Auch und gerade deshalb ist es wichtig, etwa den Fakeshop-Finder der Verbraucherzentralen zu nutzen. Das Tool analysiert Seiten anhand verschiedenster Faktoren und gibt dann eine Einschätzung ab. Diese fällt bei besagter Webseite recht eindeutig aus: "rotes Licht". Also höchstwahrscheinlich ein Fakeshop.

Tatsächlich seien das Impressum und der Handelsregistereintrag von "Fahrrad-Disocunt24.de" falsch, erklärt die Verbraucherzentrale Niedersachsen. Unternehmensnamen und Adressdaten verwende der Fakeshop missbräuchlich einem echten Anbieter, der nach eigenen Angaben bereits rechtliche Schritte eingeleitet hat. Zudem wurde die Domain erst kürzlich registriert, was auch ein starkes Indiz für eine betrügerische Seite ist.

Im Zweifel lohnt es sich auch immer, die Internetadresse in eine Suchmaschine oder die vermeintliche Shop-Anschrift bei einem Kartendienst einzugeben, um zu prüfen, ob dort die auf der Seite genannte Firma tatsächlich auftaucht – oder vielleicht eine andere oder auch gar keine, raten die Verbraucherschützer. Zudem stößt man so im Netz möglicherweise schon auf Warnungen anderer, die den jeweiligen Shop betreffen.

Sicherheitslücken in den SIP-Phones von Mitel gefährden potenziell Netzwerke. Insbesondere eine als kritisches Risiko eingestufte Schwachstelle sollten IT-Verantwortliche zügig ausbessern. Mitel stellt dafür Firmware-Updates bereit.

Laut der Sicherheitsmitteilung von Mitel gibt es eine Befehlsschmuggel-Lücke in den SIP-Phones der Baureihen 6800, 6900, 6900w sowie dem 6970-Konferenz-Modell. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung Befehle einschleusen, da nicht näher genannte Parameter nicht ausreichend gefiltert werden. Damit können sie System- und Nutzer-Daten und Konfigurationen einsehen oder ändern (CVE-2025-47188, CVSS 9.8, Risiko "kritisch").

Durch unzureichende Authentifizierungsmechanismen können Angreifer bei denselben Geräten zudem ohne vorherige Anmeldung Dateien hochladen. Etwa durch das Hochladen von WAV-Dateien können sie den Speicher des Telefons aufbrauchen, was jedoch keine Auswirkung auf die Funktionsfähigkeit der Telefone hat (CVE-2025-41787, CVSS 5.3, Risiko "mittel").

Um die Schwachstellen zu missbrauchen, benötigen Angreifer Netzwerkzugriff auf die anfälligen Geräte. Sofern die Mitel-SIP-Phones jedoch nach den Richtlinien von Mitel installiert wurden, stehen die jedoch in einem geschützten internen Netzwerk.

Betroffen sind die vorgenannten Baureihen mit Firmware-Versionen R6.4.0.SP4 und älter. Die Version R6.4.0.SP5 oder neuer enthalten die Schwachstellen nicht mehr. Mitel empfiehlt Kunden, auf diese Versionen zu aktualisieren.

Die seit 2010 jährlich stattfindende gemeinsame Cyber-Sicherheitsübung Locked Shields der NATO findet derzeit wieder im Estländischen Tallin statt. Die Veranstaltung läuft zu ihrem 15. Jubiläum seit dem 21. April und endet am morgigen Donnerstag, den 9. Mai 2025. Die Truppen der teilnehmenden Staaten üben dort, Cyberangriffe abzuwehren und so für mehr Resilienz im "Cyberraum" zu sorgen.

Ein Sprecher der Bundeswehr erklärt gegenüber heise security, dass bei diesen "Live-Fire-Übungen" die "Teilnehmer ressortübergreifend und multinational hybriden Bedrohungen aus dem Cyber- und Informationsraum entgegen" wirken. Konkret "werden Echtzeitangriffe auf Computernetzwerke und Systeme kritischer Infrastruktur (KRITIS) durch ein angreifendes Team (Red-Team) aus Tallin (Estland) simuliert, die durch insgesamt 17 Blue-Teams abgewehrt werden müssen."

Der Bundeswehr zufolge besteht eines dieser Blue-Teams, Team 2, aus Mitgliedern der Teilstreitkraft Cyber- und Informationsraum (CIR) und umfasst rund 200 Übungsteilnehmende; diese sitzen in Kalkar. Die Leitung des Teams erfolgt "in diesem Jahr durch unsere Partner aus Singapur", "die Ihre wertvollen Erfahrungen aus dem indopazifischen Raum mit in die Übung einfließen lassen. Ebenfalls im Team sind zahlreiche Angehörige anderer Ressorts", etwa dem BMI, dem BSI und weiteren sowie aus der Wirtschaft, erklärt die Bundeswehr weiter.

Auch zu einigen Schwerpunkten äußern sich die deutschen Soldaten: "Einer richtet sich dabei auf die Abwehr von Cyberangriffen auf KRITIS im zivilen wie militärischen Kontext, wie zum Beispiel Energie- oder Wasserversorgung oder Radaranlagen und Flugabwehr in einem durch die NATO kreierten fiktiven Übungsszenario. In dem Zusammenhang werden neben technischen Fähigkeiten, Methoden und der Zusammenarbeit mit zivilen Unternehmen auch der Umgang mit Vorfällen im Informationsumfeld (etwa Social Media) und die juristische Bewertung von Handlungen trainiert sowie durch die NATO bewertet."

Deutschland stehe wie andere demokratische Staaten aktuell "mehr denn je im Fokus von staatlichen und nichtstaatlichen Akteuren, die hybride Mittel einsetzen, um unsere Gesellschaft zu destabilisieren. Die Bundeswehr ist gegenüber hybriden Bedrohungen aus dem Cyber- und Informationsraum aber professionell aufgestellt und wichtiger Partner aller Akteure der Sicherheitsvorsorge." Die Szenarien müssten regelmäßig geübt werden, wofür seit 2010 die Locked-Shields-Übungen der NATO einen Rahmen bieten, an dem inzwischen 41 Nationen teilnehmen.

Weil Ciscos Netzwerkbetriebssystem IOS XE mehrere Sicherheitslücken aufweist, können Angreifer verschiedene Geräte attackieren. Nach erfolgreichen Angriffen können sie sich etwa höhere Nutzerrechte aneignen.

Als besonders gefährlich gilt eine „kritische“ Schwachstelle (CVE-2025-20188) mit Höchstwertung (CVSS Score 10 von 10). An dieser Stelle kann ein entfernter Angreifer ohne Authentifizierung mit präparierten HTTPS-Anfragen an der Schwachstelle im Image Download Feature des Out-of-Band Access Points von verschiedenen Wireless Controllern ansetzen, um Schadcode auszuführen. Damit Angreifer an der Lücke ansetzen können, muss das Download Feature aktiviert sein, was standardmäßig nicht der Fall sein soll.

Der Grund für die Verwundbarkeit ist ein hartkodierter JSON Web Token. Sind Attacken erfolgreich, kann ein Angreifer eigenen Code mit Root-Rechten ausführen. Betroffen sind verschiedene Wireless Controller, die der Netzwerkausrüster in einer Warnmeldung auflistet. Nach einer erfolgreichen Attacke gelten Geräte mit sehr hoher Wahrscheinlichkeit als vollständig kompromittiert.

Überdies sind noch diverse Router und Switches angreifbar. So können Angreifer etwa manipulierend in den Bootprozess von Catalyst 2960X, 2960XR, 2960CX und 3560CX Switches eingreifen und eigenen Code ausführen (CVE-2025-20181 „hoch“).

Unter anderem sind Integrated Service Router der 1100-Serie für DoS-Attacken anfällig. Hier können entfernte Angreifer ohne Anmeldung mit speziellen DHCP-Anfragen ansetzen, um Systeme zum Neustart zu bringen (CVE-2025-20162 „hoch“).

"Sei nicht kriminell, Kriminalität ist schlecht, Umarmungen und Küsse aus Prag" – so empfingen mehrere der Darknet-Seiten der LockBit-Ransomware Besucher am 7. Mai 2025. Offenbar hatten Unbekannte sich Zugang zu den Servern verschafft und eine Kopie der Datenbank gezogen. Die steht nun im Netz, während sich der LockBit-Kundendienst um Schadensbegrenzung bemüht.

In einer knapp 26 MByte großen Datei namens paneldb_dump.sql finden sich allerlei Details der Cybercrime-Operation, darunter knapp 60.000 Bitcoin-Adressen, Tausende Chatnachrichten mit Opfern der Ransomware und Konfigurationen für den "Locker", also die Ransomware selbst.

Anhand des Zeitstempels lässt sich das Datum des Lecks eingrenzen – alle Nachrichten tragen Datumsmarken zwischen dem 19. Dezember 2024 und dem 29. April 2025. Hinter dem Angriff stecken möglicherweise dieselben Personen, die eine andere Ransomware-Gruppierung namens Everest vor einem Monat mit einem sehr ähnlichen Defacement bedachten.

"Hack am 7. Mai - OMG" - so ist die Stellungnahme von LockBitSupp betitelt

(Bild: Screenshot / cku)

In Ubiquity Unifi Protect wurden zwei Sicherheitslücken entdeckt. Eine als kritisch eingestufte erlaubt das Einschleusen und Ausführen von Schadcode. Der Hersteller hat aktualisierte Software in Stellung gebracht, die Nutzerinnen und Nutzer zügig herunterladen und installieren sollten.

In einer Sicherheitsmitteilung erörtert Ubiquity die Schwachstellen. Bösartige Akteure mit Zugriff auf das Verwaltungsnetzwerk können einen Heap-basierten Pufferüberlauf in den Unifi-Protect-Kameras mit Firmware 4.75.43 und vorherigen provozieren und dadurch beliebigen Code einschleusen und ausführen (CVE-2025-23123, CVSS 10.0, Risiko "kritisch"). Die Höchstwertung beim Risiko zeigt, dass sich die Schwachstelle einfach missbrauchen lässt. Derartige Schwachstellen nutzen etwa Botnet-Betreiber wie die des Mirai-Botnet gerne aus, um ihre Malware dauerhaft in Netzwerken zu verankern.

Ein falsch konfigurierter Zugriffstoken-Mechanismus in der Ubiquity-Unifi-Protect-Application in Version 5.3.41 und älter könnte Empfängern von "Share Livestream"-Links weiterhin Zugriff darauf gewähren, auch wenn der Link in der App deaktiviert wurde (CVE-2025-23164, CVSS 4.4, Risiko "mittel").

Weiterreichende Informationen, wie die Lücken genau aussehen und wie Angreifer sie ausnutzen können, fehlen. Auch Hinweise, woran Betroffene Angriffsversuche erkennen könnten, nennt Ubiquity nicht. Ebensowenig gibt der Hersteller Hinweise, ob die Lücken bereits in freier Wildbahn attackiert werden. Da eines der Sicherheitslecks sogar die höchste Wertung als kritisch erhalten hat, sollten Admins jedoch so schnell wie möglich die Updates herunterladen und anwenden.

Die aktualisierte Firmware für Unifi-Protect-Kameras in Version 4.75.62 stellt Ubiquity auf einer eigenen Webseite zur Verfügung. Dort erwähnt der Hersteller jedoch nicht, dass das Update eine kritische Schwachstelle ausbessert. Die fehlerkorrigierte Unifi-Protext-Application 5.3.45 ist ebenfalls verfügbar – aber auch hier verliert Ubiquity kein Wort darüber, dass die Aktualisierung sicherheitsrelevant ist.

Der neue Bundesdigitalminister Karsten Wildberger (parteilos) setzt sich zum Amtsantritt ambitionierte Ziele: "Das neue Ministerium wird Motor sein für konkrete, sichtbare Fortschritte bei der Digitalisierung und eine moderne, handlungsfähige Verwaltung", ließ Wildberger am Mittwochmittag per Pressemitteilung wissen.

Der gesamte Staatsapparat solle modernisiert werden. Wildberger setzt die Latte für seinen Erfolg hoch: "Unser klares Ziel ist es, Deutschland zur treibenden Kraft bei der Digitalisierung in Europa zu machen." Die Gründung des Digitalministeriums sei ein Zeichen, dass diese Themen hohe Priorität für die Bundesregierung haben.

Wildberger leitet das neu gegründete “Bundesministerium für Digitales und Staatsmodernisierung" (BMDS), wie es nun offiziell heißt. Volker Wissing (parteilos), der scheidende Minister für Digitales und Verkehr, hat dem ehemaligen Manager von Ceconomy am frühen Nachmittag die Amtsgeschäfte übergeben.

Die Erwartungen an den Staat seien groß, sagte Wildberger. Es gebe keinen Schalter, der umgelegt werden könne, sondern Transformation müsse immer "Schritt für Schritt für Schritt" stattfinden. Chancen und Risiken seien zugleich zu betrachten. Er sei überzeugt, dass wer die “Technologie beherrscht, […] auch die Risiken beherrschen" könne. Die aktuelle geopolitische Situation unterstreiche zudem die strategische Bedeutung des Themas: Deutschland müsse hier seinen Führungsanspruch formulieren.

Die Zuständigkeiten, die Wildbergers neuem Haus übertragen werden, sind vielfältig. Grundsätzlich soll auch die Cybersicherheit dazu gehören. Die Zuständigkeit für das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird aber aufgeteilt: Die rechtliche Aufsicht bleibt bei Innenminister Alexander Dobrindt (CSU). Für einige Aufgaben des BSI soll künftig das Wildberger-Ministerium zuständig sein – wie der schon lange existierende Zielkonflikt zwischen bestmöglicher Sicherheit und Anforderungen der Sicherheitsbehörden gelöst werden kann, ist derzeit noch unklar.

Eine Strafe gegen Deutschland rückt näher, weil der Bund beim Schutz kritischer Infrastrukturen (Kritis) und beim Erhöhen der Cybersicherheit hinterherhinkt. Die EU-Kommission hat am Mittwoch das seit Ende November laufende Vertragsverletzungsverfahren auf die zweite Stufe gehoben, weil die Bundesrepublik nach wie vor die NIS2 getaufte EU-Richtlinie zur Netzwerk- und Informationssicherheit nicht in nationales Recht gegossen hat. Sie hat der Bundesregierung zu dem Vorgang nun eine mit Gründen versehene Stellungnahme mit weiteren Fragen geschickt, auf die diese zeitnah reagieren muss.

Mit der NIS2 soll ein hohes Cybersicherheitsniveau in der gesamten EU in Sektoren wie Informations- und Kommunikationstechnologien (IKT), Energie- und Wasserversorgung, Verkehr, Finanzwesen und Medien gewährleistet werden. Die EU-Länder hätten die Richtlinie bis zum 17. Oktober umsetzen müssen. Ein erstes Auskunftsersuchen zum Stand der Dinge richtete die Kommission im Spätherbst an insgesamt 24 Mitgliedsstaaten. Den zweiten blauen Brief hat die Brüsseler Regierungsinstitution nun neben Deutschland an 18 weitere Nationen geschickt. Dabei handelt es sich um Bulgarien, Tschechien, Dänemark, Estland, Irland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, die Niederlande, Österreich, Polen, Portugal, Slowenien, Finnland und Schweden.

Die vollständige Umsetzung der einschlägigen Rechtsvorschriften sei "von entscheidender Bedeutung für die weitere Verbesserung der Widerstandsfähigkeit und der Reaktionsfähigkeit auf Zwischenfälle" der in den Kritis-Sektoren tätigen öffentlichen und privaten Unternehmen sowie der EU insgesamt, mahnt die Kommission. Die angeschriebenen 19 EU-Staaten haben nun zwei Monate Zeit, um zu reagieren und die notwendigen Maßnahmen zu ergreifen. Andernfalls droht die Exekutivinstanz damit, die Fälle an den Europäischen Gerichtshof zu verweisen. Dieser könnte dann etwa Bußgelder verhängen.

SPD und Grüne konnten sich erst nach dem Ampel-Aus im Dezember auf einen Gesetzentwurf zur NIS2-Umsetzung und zur Einführung eines Schwachstellenmanagements zum Schließen von IT-Sicherheitslücken einigen. Verwaltungen der Länder und der Kommunen sollten demnach nicht von den verschärften Cybersicherheitsvorgaben ausgenommen und der Umgang mit "kritischen Komponenten" in Kritis-Bereichen verschärft werden. Ende Januar gaben die zuständigen Berichterstatter aber wegen erneut aufgetretener unüberbrückbarer Differenzen auf, vor allem mit der FDP.

Die neue schwarz-rote Koalition hat in ihrem Fahrplan für die nächsten Jahre festgehalten: "Wir werden im Rahmen der Umsetzung der NIS-2-Richtlinie das BSI-Gesetz novellieren." Experten mahnen, dass potenziell betroffene Firmen und Behörden trotz der Verzögerungen bereits aktiv werden sollten.

Die Entwickler der quelloffenen Office-Suite LibreOffice raten jetzt explizit von der Verwendung von Apache OpenOffice ab. In einem Post auf Mastodon verweisen sie auf Sicherheitslücken, die seit Jahren bekannt, aber noch immer nicht behoben seien. Laut einem Protokoll der Apache-Vorstandssitzung im März 2025 gibt es in OpenOffice drei Sicherheitslücken, die älter als ein Jahr sind. Das bestätigte ein Vertreter des Sicherheitsteams der Apache Software Foundation (ASF) auf Anfrage der iX-Redaktion.

Dem Protokoll zufolge gebe es zahlreiche weitere, bislang nicht behandelte Probleme mit der Office-Software. Frühere Protokolle deuten darauf hin, dass die Sicherheitslücken seit mindestens November 2023 bestehen. "Wir machen bei der Suche nach Verbesserungen Fortschritte, um diese Probleme zu beheben", erklärt der Vertreter des ASF-Sicherheitsteams.

Weiterhin werfen die LibreOffice-Entwickler der ASF vor, OpenOffice nicht mehr aktiv weiterzuentwickeln, dies jedoch mit kleinen Änderungen an HTML-Tags und Leerzeilen vorzutäuschen. Dies schade der gesamten Open-Source-Community. Zu diesen Vorwürfen äußerte sich die ASF nicht. Jedoch verfüge OpenOffice über ein aktives Projektmanagement-Komitee und behalte seinen Status als Top-Level-Projekt innerhalb der ASF, sagte Sprecher Brian Proffitt. Tatsächlich bestanden die Commits im GitHub-Repository von OpenOffice zuletzt überwiegend aus der Überarbeitung von Tippfehlern und einzelnen Anpassungen an Übersetzungen.

Die aktuelle Version 4.1.15 von OpenOffice erschien im Dezember 2023. Mit ihr bekam die Office-Suite einige Bugfixes und Updates von Wörterbüchern. Neue Funktionen erhielt OpenOffice zuletzt mit dem Release von Version 4.1 im April 2014. Angesichts dessen empfiehlt das LibreOffice-Team, Alternativen zu verwenden und bewirbt das eigene Office-Programm. Ebenfalls kritisierten die Entwickler, dass Technik-Portale weiterhin OpenOffice empfehlen würden.

OpenOffice ging im Jahr 2000 aus dem veröffentlichten Quelltext von StarOffice hervor, das Sun Microsystems zuvor übernommen hatte. Nachdem Sun seinerseits von Oracle aufgekauft wurde und für die Entwicklung von OpenOffice verantwortlich war, gab es Unsicherheiten in der Community bezüglich der Zukunft der Office-Suite, da Oracle das Projekt zunehmend weniger unterstützte. Daher gründeten einige Community-Mitglieder im September 2010 die Document Foundation und spalteten LibreOffice ab. Im Juni 2011 übergab Oracle OpenOffice an die Apache Software Foundation.

IT-Sicherheitsforscher haben eine Sicherheitslücke in der aktuellen GIMP-Version entdeckt. Beim Verarbeiten manipulierter ICO-Dateien kann die Grafiksoftware patzen und eingeschleusten Schadcode ausführen. Ein Update ist noch nicht verfügbar.

In einer Sicherheitsmitteilung haben die GIMP-Entwickler die Details zu der Sicherheitslücke von Trend Micros Zero-Day-Initiative herausgegeben. Dort erörtern die IT-Sicherheitsforscher die Sicherheitslücke anhand des Quellcodes tiefergehend. Eine Berechnung für eine Puffergröße nutzt Angaben zu Höhe und Breite einer ICO-Datei aus den Metadaten, die von Angreifern kontrollierbar sind. Aufgrund einer Multiplikation kann dabei ein Integer-Überlauf auftreten, wodurch der Wert zu klein ausfällt. In der Folge kann dann beim weiteren Verarbeiten der zu großen Datei ein Heap-basierter Pufferüberlauf auftreten.

Der Quellcode-Commit mit der Fehlerkorrektur erörtert zudem, dass ICO-Dateien auch PNGs speichern können, wodurch es möglich ist, Icons zu erstellen, die viel größer als die angegebene Bildgröße sind und dadurch ein Pufferüberlauf provoziert werden kann. Der Code prüft nun weitere Bedingungen ab, von denen die Entwickler sagen, dass sie sicherstellen, dass die Puffergrößenberechnung keinen Überlauf auslöst.

Wie die GIMP-Entwickler in den Kommentaren der Sicherheitsmeldung schreiben, haben sie Details zur Lücke bereits jetzt öffentlich gemacht, bevor eine Bugfix-Version veröffentlicht wurde, da Cyberkriminelle die Quellcode-Commits und Patches analysieren und so die Schwachstelle entdecken können. Daher sollten Nutzerinnen und Nutzer gewarnt sein.

Eine offizielle CVE-Schwachstellennummer fehlt derzeit noch, sie dürfte in Kürze folgen. Die CVSS-Wertung von 7.8 deutet auf die Risiko-Einstufung "hoch" hin.

Samsungs Content-Management-System (CMS) zum Verwalten von Digital-Sinage-Displays steht im Fokus von Angreifern. Sicherheitsupdates sind bereits seit August 2024 verfügbar.

Vor den Attacken warnen Sicherheitsforscher von Artic Wolf in einem Beitrag. Das Internet Storm Center geht davon aus, dass die Attacken über das Mirai-Botnetz laufen. Die Sicherheitslücke (CVE-2024-7399 „hoch“) ist seit Sommer 2024 bekannt. Ende April dieses Jahres haben Sicherheitsforscher von SSD Secure Disclosure Details zur Lücke und Proof-of-Concept-Code veröffentlicht.

Weil die Authentifizierung fehlerhaft ist und Dateien nicht ausreichend überprüft werden, können Angreifer ohne Anmeldung an der Schwachstelle ansetzen, um Schadcode auszuführen. Admins sollten sicherstellen, dass die dagegen gerüstete Version 21.1050 installiert ist. Alle vorigen Ausgaben sollen verwundbar sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Derzeit nutzen Angreifer Softwareschwachstellen in FreeType und Langflow aus und kompromittieren Systeme durch das Ausführen von Schadcode. In beiden Fällen sind Sicherheitspatches verfügbar, die Admins umgehend installieren sollten.

FreeType ist eine freie Programmbibliothek zum Erstellen von Schriftzeichen. Langflow ist ein KI-Tool, mit dem man etwa KI-Agenten erstellen kann. Beide Lücken sind seit März dieses Jahres bekannt. Seitdem gibt es auch Sicherheitsupdates, die aber offensichtlich bis jetzt nicht flächendeckend installiert sind. Nun warnt die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) vor Angriffen. In welchem Umfang die Attacken ablaufen, ist bislang unbekannt.

Die Schwachstelle (CVE-2025-27363 "hoch") in FreeType bedroht alle Versionen inklusive 2.13.0. Die Entwickler geben an, die Lücke in der Ausgabe 2.13.3 geschlossen zu haben. Ist das Sicherheitsupdate nicht installiert, können Angreifer Speicherfehler auslösen und so Schadcode ausführen. Der Grund dafür sind Fehler bei der Verarbeitung von Font-Subglyph-Strukturen im Zusammenhang mit TrueType-GX- und variablen Font-Dateien. Sicherheitsforscher von Facebook haben die Schwachstelle entdeckt.

An der Sicherheitslücke (CVE-2025-3248 "kritisch") im KI-Tool Langflow setzen entfernte Angreifer ohne Authentifizierung an. Durch das Versenden von präparierten HTTP-Anfragen können sie eigenen Code ausführen und Server kompromittieren. Um das zu unterbinden, müssen Admins mindestens die Langflow-Version 1.3.0 installieren.

In einem Bericht beschreiben Sicherheitsforscher von Horizon3 weiterführende Details zur Schwachstelle und erläutern, dass Attacken vergleichsweise einfach sind.

Am vergangenen Wochenende wurden Angriffe im Internet auf eine weitere Sicherheitslücke in Commvaults Command Center Innovation Release bekannt. Das von Commvault bereitgestellte Update dichtet die Sicherheitslücke offenbar nicht korrekt ab.

Die Sicherheitslücke mit den Schwachstelleneinträgen EUVD-2025-12275 respektive CVE-2025-34028 besteht darin, dass Angreifer aus dem Netz ohne vorherige Authentifizierung ZIP-Dateien hochladen können, die beim Entpacken auf dem Zielserver zum Ausführen von darin eingeschmuggelten Schadcode führen können (CVSS 10.0, Risiko "kritisch").

Gemäß der üblichen Gepflogenheiten hat Commvault mit einem Softwareupdate auf Commvault 11.38.20 für Linux und Windows reagiert. Commvault stellt auch eine eigene Sicherheitsmitteilung bereit, die am heutigen Mittwoch aktualisiert wurde. Nun veröffentlicht der Hersteller weitere Zusatzupdates für 11.38.20 zusätzlich SP38-CU20-433 sowie SP38-CU20-436 und für 11.38.25 noch SP38-CU25-434 sowie SP38-CU25-438.

Der IT-Sicherheitsforscher Will Dormann hat mit einer virtuellen Maschine mit der Commvault-Software in Version 11.38.25 getestet, ob ein Exploit für die Sicherheitslücke funktioniert.

Dormann schreibt, dass Commvault behauptet, die Versionen 11.38.20 und 11.38.25 besserten die Schwachstelle aus; die IT-Forscher von Watchtowr hätten die Lücke in Version 11.38.20 entdeckt. Da der Proof-of-Concept-Exploit gegen die vermeintlich gefixte Version 11.38.25 funktioniere, habe er da "Vertrauensprobleme". Vor wenigen Stunden hat Dormann die zusätzlichen Updates erwähnt, die Commvault nun in der aktualisierten Sicherheitsmitteilung auflistet. Deren Installation will ihm nicht gelingen. Dadurch ist es ihm auch nicht möglich, deren Wirksamkeit zu prüfen.