Comretix Blog

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Sicherheitslücken in mehreren Produkten, die bereits angegriffen werden. Laut der Behörde werden Schwachstellen in Microsofts Partner Center sowie in der Groupware Zimbra aktuell im Internet angegriffen.

Anzeige

Davor warnt die CISA in einer Sicherheitsmitteilung, die US-Behörden drei Wochen Zeit einräumt, die Lücken zu schließen. Die Sicherheitslücke im Microsoft Partner Center wurde bereits im vergangenen November bekannt. Sie erlaubt Angreifern aus dem Netz, ohne vorherige Authentifizierung ihre Rechte zu erhöhen – Zugriffsrechte wurden nicht korrekt angewendet (CVE-2024-49035, CVSS nach NIST-Einschätzung inzwischen 9.8, kritisch; Microsoft evaluiert mit CVSS 8.7 das Risiko als "hoch"). Bereits im November galt die Lücke als in freier Wildbahn angegriffen, es ist unklar, ob die CISA nun spät dran ist oder neue Attacken beobachtet wurden.

Weiter hat die CISA vor Angriffen auf die Groupware Zimbra gewarnt. Kriminelle haben eine Cross-Site-Scripting-Lücke im Visier, die Angreifern aus dem Netz nach einer Anmeldung erlaubt, beliebigen Code mit einem manipulierten Skript in der /h/autoSaveDraft-Funktion einzuschleusen (CVE-2023-34192, CVSS 9.0, Risiko "kritisch"). Betroffen war Zimbra ZCS 8.8.15, neuere Versionen bessern die Schwachstelle aus.

Die US-Behörde CISA nennt keine weiteren Informationen zu den beobachteten Angriffen auf die Sicherheitslücken. Es bleibt daher unklar, in welchem Umfang sie auftreten oder woran sie zu erkennen wären. Auch Hilfen zur Abwehr, etwa mit Hinweisen auf Kompromittierung (Indicators of Compromise, IOCs) gibt es leider nicht.

In LibreOffice klafft eine Sicherheitslücke, die Angreifer mit manipulierten Links in Dokumenten missbrauchen können. Sie können dadurch unter Windows ausführbare Dateien aufrufen und damit möglicherweise Schaden anrichten. Eine aktualisierte Version der Bürosoftware-Suite steht zum Download bereit, die die Lücke schließt.

Anzeige

Die Entwickler von LibreOffice haben eine Sicherheitsmitteilung herausgegeben, die das Problem erörtert. Die Software unterstützt eine Funktion, mit der Hyperlinks in Dokumenten mit einem Klick bei gedrückter "Strg"-Taste direkt geöffnet werden können. Unter Windows ist es möglich, dass ein Link an die Systemfunktion ShellExecute zur weiteren Verarbeitung durchgereicht wird. Ein Mechanismus in LibreOffice soll Pfade zu ausführbaren Dateien blockieren, die an ShellExecute durchgereicht werden, um zu verhindern, dass dadurch ausführbare Dateien aufgerufen werden.

Diesen Sicherheitsmechanismus können Angreifer mit sorgsam prapärieren Links in Dokumenten umgehen. Das gelingt durch die Nutzung von Nicht-Datei-URLs, die von ShellExecute als Windows-Dateipfade interpretiert werden können (CVE-2025-0514, CVSS 7.2, Risiko "hoch"). Wie solche Links aussehen würden und wie man erkennt, ob diese Lücke missbraucht wird, erörtern die Entwickler von LibreOffice jedoch nicht.

Die fehlerkorrigierten Versionen blockieren solche Umgehungsversuche. Betroffen ist LibreOffice ab Version 24.8. Die seit einigen Tage erhältliche Version 24.8.5 und neuere Fassungen weisen diesen Fehler nicht mehr auf. Die LibreOffice-Entwickler empfehlen insbesondere Windows-Nutzern, das Update auf diese oder neuere Versionen durchzuführen. Sie steht auf der Download-Seite von LibreOffice zum Herunterladen bereit.

Das Archiv der Datenleck-Such-Website Have I Been Pwned (HIBP) wächst und wächst: Jüngst haben die Verantwortlichen Zugangsdaten von rund 284 Millionen Accounts aus verschiedenen Datenkeaks hinzugefügt.

Anzeige

Auf der HIBP-Website kann man prüfen, ob die eigene E-Mail-Adresse oder Passwörter in Datenleaks auftauchen. Die Einzelsuche ist kostenlos. Neuerdings können Website-Betreiber gegen Gebühr zwei neue APIs anzapfen, um etwa von Datenleaks betroffene Kunden ausfindig zu machen.

Das Datenpaket stammt aus einem Telegram-Kanal mit der Bezeichnung ALIEN TXTBASE. Der Betreiber von HIBP Troy Hunt gibt in einem Beitrag an, die geleakten Zugangsdaten geprüft zu haben und er stuft sie als echt ein.

Infostealer verstecken sich oft in gecrackter Software von etwa Adobe. In einigen Fällen tauchen als legitime Anwendung getarnte Trojaner sogar ganz oben in den Ergebnissen einer Internetsuche auf.

Im X.org X11-Server und Xwayland wurden mehrere Sicherheitslücken entdeckt. Sie ermöglichen Angreifern unter Umständen etwa das Einschleusen und Ausführen von Schadcode. Die großen Linux-Distributionen verteilen bereits aktualisierte Pakete.

Anzeige

Der Entdecker der Lücken, Jan-Niklas Sohn, hat laut Ubuntu die acht Schwachstellen gemeldet. Als Zusammenfassung schreiben die Ubuntu-Maintainer, dass der X.org X-Server bestimmte Speicher-Operationen nicht korrekt gehandhabt hat: "Angreifer können diese Probleme nutzen, um den X-Server zum Absturz zu bringen, was in einen Denial-of-Service mündet, oder möglicherweise beliebigen Code ausführen." Wie solche Angriffe genauer aussehen könnten und sich erkennen ließen, erörtern die Autoren der Sicherheitsmitteilung jedoch nicht.

Ubuntu verteilt bereits aktualisierte Pakete, für Ubuntu 20.04, 22.04, 24.04 und 24.10. Nach der Installation der Updates sollen Betroffene die Systeme neu starten, um die nötigen Änderungen vornehmen zu lassen. Redhat hat ebenfalls Updates im Programm. Zum Meldungszeitpunkt scheint SUSE noch an aktualisierten Paketen zu arbeiten, auf der Debian "Security-Announce"-Mailingliste finden sich im Februar ebenfalls noch keine Hinweise auf Updates. Diese dürften jedoch in Kürze erscheinen. Admins sollten sie bei Verfügbarkeit zügig anwenden, sofern der X.Org-Server und Xwayland etwa aus Kompatibilitätsgründen noch auf den Systemen installiert sind.

Die Sicherheitslücken im Einzelnen:

Nvidias KI-Plattformen Jetson und IGX Orin sind verwundbar. Stimmen die Voraussetzungen, können Angreifer an einer UEFI-Schwachstelle ansetzen und im schlimmsten Fall Schadcode ausführen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, sind Attacken auf die Sicherheitslücke (CVE-2025-0148 "hoch") nur möglich, wenn Angreifer physischen Zugriff auf Geräte haben. Ist das gegeben, können sie an der Schwachstelle im ReCovery Mode (RCM) des Tegra-Prozessors ansetzen. Für eine erfolgreiche Attacke müssen sie über keine besonderen Nutzerrechte verfügen.

Ist ein Angriff erfolgreich, können sie unter anderem DoS-Zustände erzeugen, eigentlich abgeschottete Informationen einsehen oder sogar Schadcode ausführen. Wie ein solcher Angriff im Detail ablaufen könnte und ob es bereits Attacken gibt, ist derzeit nicht bekannt.

Die Entwickler geben an, das Sicherheitsproblem in IGX 1.1 und Jetson Linux 36.4.3 gelöst zu haben. Admins sollten diese Versionen zeitnah installieren.

Eine offenbar unzureichend gepatchte Sicherheitslücke in Parallels Desktop könnte es einem lokalen Angreifer ermöglichen, Root-Rechte in macOS zu erlangen – und damit die Kontrolle über den Computer zu übernehmen. Den zugehörigen Zero-Day-Exploit für diese Schwachstelle hat ein Sicherheitsforscher nun in zwei Varianten öffentlich preisgegeben. Er wolle damit ein Problembewusstsein schaffen und Kunden der Software dazu drängen, "Risiken proaktiv zu minimieren", betonte der Sicherheitsforscher Mickey Jin – schließlich könnten Angreifer den Fehler "in freier Wildbahn" ausnutzen.

Anzeige

Parallels Desktop ist eine Software, mit der sich andere Betriebssysteme unter macOS virtualisieren lassen, darunter Windows und Linux. Das Tool richtet sich an Privatanwender ebenso wie an den Einsatz in Firmen, um etwa eine bestimmte Windows-Software parallel auf den Macs von Mitarbeitern einsetzen zu können.

Die Exploits nutzen eine Schwachstelle, die eine Rechteausweitung ermöglicht. Dieser im vergangenen Jahr gemeldete Bug (CVE-2024-34331) wurde von Parallels Desktop mit einem Update behoben. Der Patch lasse sich aber "richtig leicht umgehen", schreibt Jin. Er habe das damals umgehend an die Zero Day Initiative (ZDI) sowie den Hersteller Parallels gemeldet. Bei letzterem sei der Eingang seines sicherheitskritischen Bug-Reports zwar bestätigt worden, anschließend habe es aber keine weitere Reaktion mehr gegeben. ZDI habe sich mehr als einen Monat Zeit gelassen und konnte den ersten Exploit dann offenbar nicht reproduzieren, weil inzwischen eine neue Parallels-Version vorlag.

Letztlich reagierte der Hersteller seit Ende Juli 2024 nicht mehr auf seine Nachfragen, so Jin – deshalb habe er sich jetzt zur Veröffentlichung entschieden.

Ein wichtiges Sicherheitsupdate schließt eine "kritische" Schwachstelle im Wordpress-Plug-in Everest Forms. Sind Attacken erfolgreich, können Angreifer Schadcode ausführen und im schlimmsten Fall die volle Kontrolle über Websites erlangen.

Anzeige

Davor warnt Wordfence in einem Beitrag. Sie geben an, dass die Lücke (CVE-2025-1128) über ihr Bug-Bounty-Programm gemeldet wurde. An der Schwachstelle sollen entfernte Angreifer ohne Authentifizierung ansetzen können. Darüber können sie Schadcode hochladen, umso mit Wordpress erstellte Internetseiten zu kompromittieren.

Everest Forms weist der Plug-in-Website zufolge mehr als 100.000 aktive Installationen auf. Damit kann man unter anderem Kontaktformulare aufsetzen. Der Fehler findet sich den Sicherheitsforschern zufolge in der EVF_Form_Fields-Upload-Klasse.

Aufgrund von unzureichenden Überprüfungen können Angreifer an dieser Stelle Schadcode hochladen und Dateien einsehen und sogar löschen. Wie solche Attacken im Detail ablaufen können, erläutert Wordfence in seinem Beitrag zur Sicherheitsproblematik.

Deutsche IT-Sicherheitsforscher aufgepasst: Im Mai dieses Jahres kommt der Pwn2Own-Wettbewerb nach Berlin. Dort nutzen Teilnehmer unter bestimmten Spielregeln in einem Zeitlimit Sicherheitslücken aus. Klappt das, können sie eine Geldprämie einstreichen. Details zu den Lücken werden unter Verschluss gehalten, bis Softwareanbieter Sicherheitsupdates fertiggestellt haben. Zum ersten Mal können sich die Teilnehmer über Anwendungen und Tools im KI-Kontext hermachen.

Anzeige

Trend Micros initialer Pwn2Own-Wettbewerb startete 2007 in Vancouver. Seitdem tourt das Event durch die ganze Welt und macht nun im Rahmen der OffensiveCon vom 15. bis 17. Mai 2025 erstmals in Berlin halt. Die Konferenz ist jedoch bereits ausverkauft, aber die Veranstalter vom Pwn2Own gehen in einem Beitrag davon aus, dass es zeitnah noch einmal Tickets geben wird.

Ziel des Wettbewerbs ist es, Geräte und Software sicherer zu machen. Dabei nehmen die Teilnehmer Sicherheitslücken in unter anderem Anwendungen, Betriebssystemen und Webbrowsern ins Visier. In diesem Jahr ist die gesamte Geldprämie auf 1 Million US-Dollar festgesetzt.

Überdies stehen noch E-Autos im Fokus. Tesla ist ein Partner des Events und regelmäßig nutzen Teilnehmer etwa Schadcodelücken in Fahrzeugen aus. Vergangenes Jahr führten die Veranstalter die Cloud-Native/Container-Kategorie ein. Dieses Jahr werden Sicherheitsforscher erstmals auf KI-Tools losgelassen. Darunter sind unter anderem Produkte von Chroma und Nvidia. Schafft es ein Teilnehmer, in diesem Kontext Schadcode auszuführen, winken maximal 40.000 US-Dollar.

IT-Forscher haben ein Botnet aus mehr als 130.000 infizierten Systemen dabei beobachtet, wie es Password-Spraying-Angriffe auf Microsoft-365-Konten ausführt. Durch das Probieren von Nutzernamen-Passwort-Kombinationen kann der Zugriff auf nur einfach gesicherte Konten gelingen.

Anzeige

Laut einer Analyse des Unternehmens SecurityScorecard haben die Angreifer insbesondere nicht-interaktive Zugänge mit sogenannter Basic-Authentication im Visier. Dadurch umgehen sie etwa Schutzmechanismen wie Mehr-Faktor-Authentifizierung (MFA). IT-Security-Teams hätten in dieser Kombination oftmals einen blinden Fleck vorzuweisen. Bei den Angriffen setzen die kriminellen Drahtzieher auf Zugangsdaten, die etwa Infostealer bei Opfern abgegriffen haben, und testen sie systematisch für viele Zugänge aus.

Den IT-Forschern zufolge haben Angreifer global mehrere Microsoft-365-Tenants derart attackiert. Das lasse auf eine weiterverbreitete und weiter bestehende Bedrohung schließen. Nicht-interaktive Log-ins dienen üblicherweise der Maschine-zu-Maschine-Kommunikation oder etwa für veraltete Protokolle wie POP, IMAP und SMTP – hierfür komme in vielen Konfigurationen keine MFA zum Einsatz. Organisationen, die lediglich auf Anmeldungs-Überwachung interaktiver Log-ins setzen, seien dafür zudem blind.

SecurityScorecard hat direkte Belege für dieses Verhalten in den nicht-interaktiven Anmelde-Protokollen entdeckt und rät allen Organisationen mit Microsoft-365-Tenants, zügig zu prüfen, ob sie ebenfalls betroffen sind. Sollte das der Fall sein, empfehlen die Autoren der Analyse, die Zugangsdaten zu allen Konten aus den Protokollen zurückzusetzen.

Die US-amerikanische Cybersicherheitsbehörde CISA sagt, Angriffe auf Sicherheitslücken in Adobe Coldfusion und in Oracle Agile Product Lifecycle Management (PLM) beobachtet zu haben. Es handelt sich teils um sehr alte Lücken, Updates stehen zur Verfügung.

Anzeige

In einer der kurzen und knappen Warnungen der CISA listet die Behörde lediglich die Sicherheitslücken auf, auf die sie kürzlich und aktuell Angriffe beobachtet hat. Die in Adobe Coldfusion von Angreifern missbrauchte Schwachstelle betrifft die mitgelieferte Apache-BlazeDS-Bibliothek. Darin klafft eine "wichtige" Java-Deserialisierungs-Lücke (CVE-2017-3066). Adobe hat keine weiteren Informationen zu der Schwachstelle veröffentlicht, es fehlt auch eine Einstufung mit CVSS-Wert. Das Unternehmen hat sie aber bereits im April 2017 mit einem Hotfix für Coldfusion 10, 11 und 2016 ausgebessert.

Die in freier Wildbahn ausgenutzte Sicherheitslücke in Oracle Agile Product Lifecycle Management (PLM) ist hingegen seit einem Jahr bekannt. Die CISA beschreibt sie in ihrer Mitteilung als Deserialisierungslücke, die Schwachstellenbeschreibung selbst verdeutlicht hingegen, dass Angreifer die Lücke in Oracle Agile PLM 9.3.6 einfach mit HTTP-Zugriff und niedrigen Rechten missbrauchen können, um eine Oracle Agile PLM-Instanz vollständig zu übernehmen (CVE-2024-20953, CVSS 8.8, Risiko "hoch").

Wie die Angriffe ablaufen und welchen Umfang oder Auswirkungen sie haben, erläutert die CISA nicht. IT-Verantwortliche sollten die Aktualisierungen spätestens jetzt nachholen.

Im Rahmen des russischen Angriffskriegs gegen die Ukraine haben viele das Vertrauen in den russischen Sicherheitssoftware-Anbieter Kaspersky verloren. In einigen Ländern ist die Software daher bereits auf Regierungs-Computern tabu, so warnt etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor deren Einsatz. Zum vergangenen Wochenende hat nun die australische Regierung die Installation von Kaspersky-Software auf Regierungs-PCs sowie den Einsatz von Kaspersky-Web-Diensten verboten.

Anzeige

Eine knappe News auf der Webseite des zum dortigen Innenministerium (Department of Home Affairs) gehörenden Protective Security Policy Frameworks vom Freitag erklärt, dass das Ministerium die bindende Direktive an Regierungseinrichtungen zum Abwenden eines "Sicherheitsrisikos für den Commonwealth" veröffentlicht habe. Die Direktive fordert demnach, dass australische Regierungseinrichtungen die Installation von Software der Kaspersky Lab, Inc sowie den Einsatz von Web-Services des Unternehmens unterbinden – und wo diese aufgefunden werden, diese in allen Instanzen zu entfernen.

Das PDF zur Direktive liefert ein paar mehr Informationen und Hintergründe. Die australische Innenministerin Stephanie Foster erklärt darin: "Nach Prüfung der Bedrohungs- und Risikoanalyse bin ich zu dem Schluss gekommen, dass die Verwendung von Produkten und Webdiensten von Kaspersky Lab, Inc. durch australische Regierungsstellen ein inakzeptables Sicherheitsrisiko für die australische Regierung, ihre Netzwerke und Daten darstellt, das sich aus der Bedrohung durch ausländische Einmischung, Spionage und Sabotage ergibt. Ich sehe auch die Notwendigkeit eines starken politischen Signals an [Betreiber] kritischer Infrastrukturen und anderer australischer Regierungseinrichtungen zum inakzeptablen Sicherheitsrisiko, das mit der Nutzung von Kaspersky Lab, Inc.-Produkten und Webdiensten verbunden ist."

Bis zum 1. April dieses Jahres müssen alle nicht geschäftlichen Commonwealth-Einrichtungen alle bestehenden Instanzen von Kaspersky-Produkten und -Webdiensten auf australischen Regierungssystemen und -Geräten identifizieren und entfernen. Zudem müssen sie die Installation und Nutzung dieser Produkte und Webdienste verhindern. Am Ende müssen die Regierungseinrichtungen Bericht über den Vollzug der Direktive erstatten. In Ausnahmefällen können Einrichtungen eine Ausnahmegenehmigung in besonderen Fällen anfragen. Diese sind jedoch lediglich zeitlich begrenzt.

Microsoft hat jüngst einige Windows-Vorschauversionen in unterschiedlichen Insider-Kanälen veröffentlicht. Der Hersteller arbeitet an mehreren Features und korrigiert Fehler. Auch das Snipping-Tool erlernt neue Fähigkeiten.

Anzeige

Mitte vergangener Woche hat Microsoft eine Release-Preview-Version von Windows 11 auf Build 26100.3321 herausgegeben, die einen Ausblick auf in Kürze für alle verfügbare Funktionen liefert. Für den schrittweisen Roll-out vorgemerkt ist eine Verbesserung des Akku-Symbols in der Taskleiste. Es soll nun farblich den Zustand widerspiegeln: Grün bedeutet, der Rechner lädt und ist in einem guten Zustand. Gelb weist auf einen Energiesparmodus hin – Windows wechselt standardmäßig ab einem Akkustand von 20 Prozent in diesen Modus. Rot steht für niedrigen Ladestand, der Rechner solle so schnell wie möglich ans Ladekabel. Wie etwa vom Smartphone gewohnt soll nun auch die Möglichkeit hinzukommen, den prozentualen Ladestand direkt neben dem Akku-Symbol anzuzeigen.

Der OpenSSH-Dienst startete nicht mehr, wodurch keine SSH-Verbindungen möglich waren. Das detaillierte Logging fand nicht statt, und Interessierte mussten die "sshd.exe" händisch starten. Das soll ab diesem Build der Vergangenheit angehören.

Gegen Ende vergangener Woche legte Microsoft in den Dev- und Beta-Kanälen des Windows-Insider-Programms mit Build 26120.3291 von Windows 11 weitere neue Funktionen nach. Insbesondere Verbesserungen für Copilot+-PCs stehen ins Haus. Snapdragon-basierende Copilot+-Maschinen sollen durch die Windows-Suche etwa Dateien finden können, die in der Cloud abgelegt wurden. Microsoft zeigt als Beispiel das Auffinden von Fotos aus der Cloud, die über Inhaltsbeschreibungen gefunden werden.

IT-Sicherheitsforscher haben eine Malware aus dem Google-Play-Store entdeckt, die auf zigtausende Installationen kommt. Es geht um Finanzkriminalität, sie erpresst Opfer etwa mit sensiblen Daten, die auf deren Android-Smartphones liegen.

Anzeige

In einer Analyse nehmen IT-Forscher von Cyfirma die Malware auseinander. Sie steht respektive stand in Googles Play Store unter dem Namen "Finance Simplified" vom Anbieter com.someca.count zur Installation bereit. Die weiteren schädlichen Apps tragen den Installationspaket-Namen "KreditApple.apk" von com.kreditapplepronew.com, "Pokketme.apk" von com.poklaan.frein sowie "StashFur.apk" von com.stashfurpro.com. Cyfirma zufolge war die bösartige App "Finance Simplified" kurz vor dem Wochenende noch im Play Store verfügbar. Jetzt zeigt Google jedoch beim Versuch, die zugehörige Seite aufzurufen, eine 404-Fehlermeldung.

Die Täter suchen derzeit Opfer in Indien. Die Apps sollen "räuberische Kreditanfragen" stellen. Basierend auf Lokalisierung erhalten indische Interessenten nicht autorisierte Kredit-Apps angezeigt, die innerhalb der WebView-Komponenten laufen, wodurch die Angreifer die Schutzmechanismen des Play-Stores unterlaufen. Nach der Installation sammeln die Malware-Apps sensible Nutzerdaten, versuchen, ihnen ausbeuterische Kredite zu vermitteln, und setzen Erpressungsversuche zum Abpressen von Geld um.

Die Kampagne missbrauche das Vertrauen von Interessierten in Finanz-Tools und App-Stores. Sie zeige aber auch, welche fortschrittlichen Methoden Kriminelle zur Vermeidung der Erkennung und zum Anrichten von signifikantem Schaden verwendeten, erklären die IT-Forscher.

Die Telekom hat angekündigt, eine Schutzfunktion für die eigenen Kundinnen und Kunden zu installieren: Eine "SMS-Firewall". Sie soll Empfänger vor bösartigen Nachrichten schützen, durch die sie etwa Malware installieren oder auf Betrugsmaschen hereinfallen könnten.

Anzeige

Gegenüber heise online äußerte die Telekom: "Ab dem 1. April 2025 schützen wir die Kundinnen und Kunden im Telekom Mobilfunknetz mit einer so genannten SMS-Firewall vor bösartigen Kurznachrichten. Als fester Bestandteil des Netzes wirkt sie ebenso für die Kundinnen und Kunden von Congstar und Fraenk." Das Unternehmen konzentriere sich zunächst "auf die SMS, die einen Link zu Schadsoftware enthalten". Nach und nach will die Telekom "im Rahmen der Einführungs-Phase den Fokus erweitern."

Die alte SMS ist noch rege im Einsatz, sagte uns die Telekom: "Die SMS leistet noch immer gute Dienste zum Jahreswechsel: Rund fünf Millionen SMS haben Kundinnen und Kunden in der ersten Nacht des neuen Jahres verschickt." Natürlich kommen sehr oft aber auch schädliche Nachrichten an. Im vergangenen Jahr gab es tausende Beschwerden bezüglich Abzocke mit angeblichen Paket-SMS bei der Bundesnetzagentur.

Auf unsere Nachfrage, die wir auf Basis Anfragen besorgter Lesern gestellt haben, ob die Telekom nun SMS mitlese, gab es hingegen keine konkrete Antwort. Die dpa betont diesbezüglich, dass die SMS wie ein Telefonat dem Fernmeldegeheimnis unterliege und durch das Telekommunikationsgesetz geschützt sei. Nur in gesetzlichen Ausnahmefällen, etwa zur Strafverfolgung, dürften Mobilfunkanbieter die Inhalte von Nachrichten einsehen oder analysieren. Das erschwert eine Erkennung betrügerischer SMS.

Wer Netzwerkverkehr mit Wireshark untersucht, sollte das Tool zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Systeme attackieren. In der aktuellen Version haben die Entwickler eine Sicherheitslücke geschlossen und mehrere Bugs beseitigt.

Anzeige

Wireshark 4.4.4 steht ab sofort zum Download bereit. Die geschlossene Schwachstelle (CVE-2025-1492 "hoch") betrifft Wireshark 4.4.0 bis einschließlich 4.4.3 und 4.2. bis einschließlich 4.2.10.

In einem Beitrag zur Lücke schreiben die Entwickler, dass Angreifer die Komponenten "Bundle Protocol" und "CBOR dissectors" abstürzen lassen können. Um solch einen DoS-Zustand auszulösen, müssen Opfer aber ein von Angreifern präpariertes Paket mit dem Tool verarbeiten. Auf einem nicht näher beschriebenen Weg sollen Angreifer solche Pakete auch via Packet Injection einspeisen können.

Neben dem Sicherheitspatch haben die Entwickler noch mehrere Probleme in Wireshark gelöst. So verarbeitet etwa TShark nun Adressen in Custom-Host-Dateien korrekt. Weitere beseitigte Fehler sind im Changelog aufgelistet.

Eine aktuelle Phishing-Masche missbraucht eine Funktion für Adressänderungen und -Ergänzungen in Paypal, um an serverseitigen Filtermechanismen vorbeizuschlüpfen. Um Opfer zu unbedachten Handlungen zu verleiten, weisen die Mails auf teure gekaufte Gegenstände hin, die mit der Adressänderung zusammenhängen würden.

Anzeige

Das Online-Medium BleepingComputer berichtet von der Masche. Auf Reddit schreiben Nutzer über E-Mails, die von Paypal stammen und angeben, dass die Empfänger eine neue Adresse zu ihrem Konto hinzugefügt hätten. Die Mail sei eine kurze Bestätigung, dass die neue Adresse dem Paypal-Konto hinzugefügt wurde.

Der weitere Mail-Text gibt vor, dass ein teurer Einkauf an die neue Adresse gesendet werde, konkret etwa ein Macbook M4 Max. Sofern Empfänger diese Aktualisierung nicht autorisiert hätten, sollten sie eine angegebene Telefonnummer anrufen. Wie BleepingComputer berichtet, verbergen sich hinter der Nummer jedoch die Betrüger. Sie wollen Anrufer dazu bringen, zu glauben, dass der eigene Paypal-Zugang geknackt wurde und durch Starten von bestimmter Software der Zugriff wiederzuerlangen und die angebliche Transaktion rückgängig gemacht werden könne.

Auf der von Betrüger angegebenen Webseite wartet jedoch ein ConnectWise-ScreenConnect-Client, der den Angreifern Zugriff auf den Rechner gibt. BleepingComputer hat an der Stelle abgebrochen, üblicherweise stehlen Betrüger mit derartigem Zugang dann Geld von Bankkonten, installieren Malware oder kopieren sensible Daten vom Computer, erklären die Autoren.