Comretix Blog

Im quelloffenen Linux-Betriebssystem OpenWRT haben die Entwickler zwei Sicherheitslücken geschlossen. Sie ermöglichen unter Umständen das Einschleusen und Ausführen von Schadcode sowie die Ausweitung von Rechten. Die Schwachstellen gelten als hochriskant. Wer OpenWRT einsetzt, sollte daher die aktualisierten Images installieren.

Eine der Sicherheitslücken betrifft den ubusd (Microbus-Daemon). Darüber kommunizieren in OpenWRT Clients – etwa Daemons oder Anwendungen – mit Diensten. Es handelt sich um ein System zur Interprozesskommunikation. Im Code zur Verarbeitung von Event-Registrierungen können Angreifer einen Heap-basierten Pufferüberlauf auslösen und dadurch möglicherweise Schadcode im Kontext des ubus-Daemons ausführen. Da der Code vor Zugriffsberechtigungsprüfungen ausgeführt wird, können alle ubus-Clients derartige manipulierte Nachrichten senden und die Schwachstelle missbrauchen, erörtern die OpenWRT-Entwickler in ihrer Sicherheitsmitteilung (CVE-2025-62526, CVSS 7.9, Risiko "hoch"). Nähere Erläuterungen, wie Angriffe aussehen könnten, die ubus-Clients zum Senden solcher manipulierter Nachrichten bringen, macht das Projekt nicht.

Die andere Schwachstelle ermöglicht die Ausweitung der Rechte von lokalen Usern. Die können beliebigen Kernel-Speicher durch die IOCTLs des ltq-ptm-Treibers lesen und beschreiben, der für den Datenpfad des DSL-Modems bedient, schreibt OpenWRT in der Sicherheitsmeldung (CVE-2025-62525, CVSS 7.9, Risiko "hoch"). OpenwRT laufe standardmäßig als Single-User-System, jedoch befinden sich einige Dienste in einer Sandbox. Die Schwachstelle ermöglicht Angreifern, aus einer ujail-Sandbox oder anderen Beschränkungen auszubrechen. Davon betroffen sind lediglich die Lantiq-Build-Targets mit Unterstützung für xrx200-, Danube- und Amazon-SoCs (System-on-Chip) von Lantiq, Intel und MaxLinear. Dazu müsse DSL im PTM-Modus genutzt werden, was zumeist bei VDSL-Anbindungen der Fall sei, während ADSL-Anbindungen in der Regel den ATM-Modus nutzen, erklären die Programmierer. Sie fördern zudem, dass der VRX518-DSL-Treiber nicht verwundbar sei.

Die Schwachstellen haben die Programmierer in Version 24.10.4 und neueren von OpenWRT ausgebessert. Snapshots-Builds seit dem 18. Oktober 2025 enthalten die Korrekturen, der ltq-ptem-Treiber ist seit 15. Oktober korrigiert. Alle älteren OpenWRT-Versionen sind verwundbar, schreibt das Projekt. OpenWRT-Versionen wie 23.05 oder 22.03 sind jedoch am End-of-Life angelangt und erhalten daher keine Sicherheitsupdates mehr.

Ende vergangenen Jahres hatte OpenWRT eine als kritisch eingeordnete Sicherheitslücke in den SysUpgrade-Server geschlossen. Angreifer hätten manipulierte Firmware-Images erstellen und damit versehene OpenWRT-Geräte kompromittieren können.

Wochenlang stand die Produktion von Jaguar Land Rover still. Das hatte nicht nur auf den britischen Autobauer erhebliche Auswirkungen.

Die Einbußen durch den wochenlangen erzwungenen Produktionsstopp belaufen sich demnach auf geschätzte 1,9 Milliarden Pfund (knapp 2,2 Milliarden Euro). Die Schätzung schließe den Schaden für Zulieferer und Händler mit ein, hieß es in einer Mitteilung des Cyber Monitoring Centre, einer unabhängigen Expertengruppe. Demnach waren mehr als 5000 Organisationen von dem Cyberangriff betroffen.

Das zum indischen Tata-Konzern gehörende Unternehmen war Ende August zum Ziel eines Cyberangriffs geworden, der es zum Herunterfahren der IT-Systeme und einem weltweiten Produktionsstopp zwang. Inzwischen wurde die Produktion wieder schrittweise aufgenommen.

Die britische Regierung musste dem Autobauer mit der Garantie für einen Milliardenkredit unter die Arme greifen. Mit bis zu 1,5 Milliarden Pfund (umgerechnet 1,7 Mrd. Euro) solle die Lieferkette des Unternehmens abgesichert werden, hatte die Regierung Ende September mitgeteilt. Der Kredit kam von einer Geschäftsbank.

Wer Windows mit geklonten oder duplizierten Installationen im Netzwerk betreibt, kann seit der Update-Vorschau von Ende August oder den Sicherheitsupdates vom Microsoft-September-Patchday unerwünschtes Verhalten im Netzwerk beobachten. Anmeldungen schlagen fehl, die Kommunikation zwischen Stationen und Servern will nicht mehr.

Das räumt Microsoft nun in einem Support-Artikel ein. Uns liegt auch ein Leserhinweis zu diesen Problemen vor. Die Problembeschreibung lautet konkret, dass es zu Authentifizierungsfehlern mit Kerberos und NTLM auf Geräten kommt, bei denen duplizierte Security Identifier (SIDs) vorliegen. Betroffen sind Windows 11 24H2 und 25H2 sowie Windows Server 2025, nach der Installation der Update-Vorschauen aus August oder der Patches vom September.

Microsoft listet diverse mögliche Symptome auf, die bei Nutzerinnen und Nutzer in solch einer Situation auftreten können: Etwa wiederholte Aufforderungen zur Eingabe der Zugangsdaten oder Zugangsanfragen mit gültigen Zugangsdaten, die zu Fehlermeldungen wie "Anmeldeversuch fehlgeschlagen", "Login fehlgeschlagen/Ihre Zugangsdaten haben nicht funktioniert", "Es gibt eine partielle Nicht-Übereinstimmung der Machine-ID" oder schlicht "Nutzername oder Passwort ist inkorrekt" führen.

Weitere Effekte umfassen, dass der Zugriff auf Netzwerkfreigaben weder mittels IP-Adresse noch Hostnamen gelingt, Remote-Desktop-Sitzungen nicht aufgebaut werden können, "Failover Clustering" mit einer "Zugriff verweigert"-Meldung fehlschlägt oder in den Ereignisprotokollen etwa im Sicherheits-Log die Meldung "SEC_E_NO_CREDENTIALS" oder im System-Log die LSASS-Event-ID 6167 mit der Nachricht "There is a partial mismatch in the machine ID. This indicates that the ticket has either been manipulated or it belongs to a different boot session." auftauchen.

Zur Ursache erörtert Microsoft, dass die Windows-Updates seit Ende August als zusätzliche Schutzmaßnahme erzwungene Überprüfungen der SIDs einführen, die nun Authentifizierungsfehler bei SID-Dubletten auslösen. Die Design-Änderung blockiert Authentifizierung-Handshakes zwischen solchen Geräten.

Verschiedene Gateway-Modelle von Omada TP-Link sind verwundbar. Im schlimmsten Fall können Angreifer als Root auf Systeme zugreifen oder sogar Schadcode ausführen.

Die Entwickler geben in den folgenden Warnmeldungen an, insgesamt vier Sicherheitslücken (CVE-2025-6541 "hoch", CVE-2025-6542 "kritisch", CVE-2025-7850 "kritisch", CVE-2025-7851 "hoch") geschlossen zu haben.

Durch das erfolgreiche Ausnutzen der ersten beiden Schwachstellen können entfernte Angreifer ohne Authentifizierung Schadcode ausführen und Systeme so vollständig kompromittieren. Wie solche Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

Im dritten Fall können Angreifer ebenfalls Schadcode ausführen, dafür muss aber bereits ein Admin authentifiziert sein. Die letzte Schwachstelle ermöglicht Angreifern den Zugriff auf eine Root-Shell. Bislang gibt es keine Hinweise, dass Angreifer die Lücken bereits ausnutzen. Das kann sich aber schnell ändern und Netzwerkadmins sollten zügig reagieren.

Diese Liste zeigt die konkret bedrohten Modelle und die jeweils abgesicherte Firmware auf. Alle vorigen Versionen sollen verwundbar sein.

Die US-amerikanische IT-Sicherheitsbehörde CISA hat fünf Schwachstellen neu in den "Known-Exploited-Vulnerabilities"-Katalog aufgenommen. Demnach attackieren Angreifer derzeit Schwachstellen in Produkten von Apple, Kentico, Microsoft und Oracle.

Eine der Sicherheitslücken, die die CISA als bekannt attackiert auflistet, stammt bereits aus dem Jahr 2023 und betrifft mehrere Apple-Produkte. Details nennt der CVE-Eintrag nicht, Apple berichtet dort jedoch, dass das Problem durch verbesserte Begrenzungsprüfungen korrigiert wurde – das klingt nach einem potenziellen Pufferüberlauf, den Apple in tvOS 15.6, watchOS 8.7, iOS und iPadOS 15.6, macOS 12.5 sowie Safari 15.6 korrigiert hat (CVE-2022-48503, CVSS 8.8, Risiko "hoch").

In der Kentico-Xperience-Umgebung hat der Hersteller im März dieses Jahres kritische Sicherheitslücken gestopft, die Angreifern die Umgehung der Authentifizierung über den Staging Sync Server ermöglichten (CVE-2025-2746, CVE-2025-2747, CVSS 9.8, Risiko "kritisch"). Auf beide Lücken haben es Angreifer inzwischen abgesehen. Ebenso auf eine Lücke im Windows-SMB, durch die angemeldete Angreifer ihre Rechte über das Netzwerk ausweiten können – und die Microsoft bereits im Juni mit einem Update geschlossen hat (CVE-2025-33073, CVSS 8.8, Risiko "hoch").

Schließlich wurden nun auch Attacken auf die in der vergangenen Woche mit einem Notfall-Update geschlossene Sicherheitslücke in der Oracle E-Business-Suite beobachtet. Es handelt sich um eine CrossServer-Side-Request-Forgery (SSRF), die laut Oracle aus dem Netz ohne vorherige Authentifizierung ausnutzbar ist (CVE-2025-61884. CVSS 7.5, Risiko "hoch"). Sie ermöglicht den Zugriff auf sensible Informationen.

IT-Verantwortliche sollten die bereitstehenden Software-Aktualisierungen zügig herunterladen und installieren, um die Angriffsfläche zu minimieren. Die CISA nennt wie üblich keine Details zu den Angriffen, sodass derzeit keine Indizien für Angriffe (Indicators of Compromise, IOCs) verfügbar sind, mit denen sich diese erkennen ließen.

Die Rust-Library async-tar enthält eine Schwachstelle, die es Angreifern ermöglicht, versteckte Inhalte in tar-Archiven einzuschleusen.

Das auf sichere Laufzeitumgebungen spezialisierte Unternehmen Edera hat den Fehler veröffentlicht und ihm den etwas dramatischen Namen TARmageddon gegeben. Das Unternehmen hatte einen eigenen Fork der Library gepflegt, der inzwischen archiviert ist, aber noch einen Patch erhält.

Die Library async-tar dient dazu, tar-Archive asynchron zu lesen und zu schreiben. Sie ist deutlich performanter als die synchron arbeitende tar-Library für Rust.

Der zugehörige CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2025-62518 hat den Schweregrad "hoch" mit dem Wert 8,1 von 10.

Auch wenn sich der CVE-Eintrag auf die Library astral-tokio-tar bezieht, betrifft die Schwachstelle die Library async-tar und deren Forks. Der am weitesten verbreitete Fork tokio-tar, mit über 7 Millionen Downloads im Rust-Paketmanager crates.io, wird seit zwei Jahren nicht mehr gepflegt. Damit bleibt er weiter verwundbar.

Die Firewall-Serien ATP, USG FLEX und USG FLEX 50(W)/USG20(W)-VPN sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen. Um Instanzen abzusichern, sollten Admins das verfügbare Sicherheitsupdate installieren.

Beide Schwachstellen (CVE-2025-8078, CVE-2025-9133) sind mit dem Bedrohungsgrad "hoch" eingestuft. Im ersten Fall müssen Angreifer bereits über Administratorrechte verfügen, um eigene Befehle auf Systemebene ausführen zu können. In dieser Position steht ihnen aber ohnehin schon Tür und Tor offen.

Im zweiten Fall müssen Angreifer den ersten Abschnitt der Einrichtung zur Zwei-Faktor-Authentifizierung abgeschlossen haben. Ist das gegeben, können sie Systemkonfigurationen einsehen und herunterladen.

Auch wenn es bislang keine Berichte zu Attacken gibt, sollten Admins das Sicherheitsupdate ZDL V5.41 zeitnah installieren. In einer Warnmeldung geben die Entwickler an, dass die ZDL-Ausgaben V4.32 bis einschließlich V5.40 von den Sicherheitslücken betroffen sind.

Zuletzt haben die Entwickler im April dieses Jahres Sicherheitsupdates für Firewalls veröffentlicht.

Das Have-I-Been-Pwned-Projekt (HIBP) ist um 183 Millionen entwendete Zugänge reicher. Betreiber Troy Hunt hat von Infostealern ausgeleitete Zugangsdaten, die von der Firma Synthient gesammelt wurden, zur ohnehin schon riesigen Datensammlung hinzugefügt.

Bei Infostealern handelt es sich um Trojaner, die auf dem Rechner oder Smartphone von Opfern installiert wurden – oftmals landen die dort, weil die Besitzer etwa vermeintlich gecrackte Software installiert haben oder weil durch Sicherheitslücken in der genutzten Software eingeschleuste Malware sich einnisten konnte. Die schneiden dort mit, wenn sich die Opfer in Dienste einloggen, und schicken die Zugangsdaten an ihre Command-and-Control-Server. Oftmals landen die Daten dann in offen zugänglichen Cloudspeichern oder etwa in Telegram-Kanälen, wo sie andere Kriminelle sammeln und neu zusammenstellen sowie mit Daten aus älteren Lecks abgleichen und vermengen.

Solche Daten hat Synthient gesammelt. Have-I-Been-Pwned-Betreiber Troy Hunt hat nun die Synthient-Datensammlung aus dem April dieses Jahres erhalten. Nach dem Aufräumen – "Normalisieren" und Deduplizeren nennt Hunt explizit in der Ankündigung – blieben aus den Milliarden Einträgen noch 183 Millionen einzigartige Zugänge übrig. Die umfassen die Webseite, auf der sie eingegeben wurden, sowie Nutzernamen und Passwort.

Der Datensatz ist nun über die HIBP-Webseite durchsuchbar. Als Suchkriterien sind E-Mail-Adressen, Passwörter, Domains und die Website, auf der Zugangsdaten eingegeben wurden, verfügbar.

Bis Anfang dieses Jahres hatte das HIBP-Projekt lediglich Daten aus bekannten Datenlecks oder Einbrüchen von Organisationen in der Datenbank gesammelt. Seitdem hat Troy Hunt jedoch begonnen, auch die öffentlich aufgetauchten, von Infostealern entwendeten Daten aufzubereiten und zu ergänzen.

Nach der extralangen Folge zu Phrack nähert sich der Podcast wieder seinem Normalzustand an – nicht nur in der Länge, sondern auch inhaltlich: Die Hosts ärgern sich über Oracle, freuen sich über Signal und wundern sich über Geheimdienste. Alles wenig überraschend, aber dahinter stecken dennoch interessante Nachrichten.

Los geht es jedoch mit Leserfeedback und der Chatkontrolle. Die wurde zwar schon ausführlich in Folge 16 behandelt, aber die Politik lässt das Thema nun mal nicht los. Die Hosts iterieren – leicht verstimmt – warum die Chatkontrolle nach wie vor technisch unausgegoren ist, sowie unverhältnismäßig, gefährlich und vermutlich auch ineffektiv wäre.

Danach wird die Laune leider nicht besser, denn Christopher erzählt von Angriffen auf Oracles E-Business-Suite und vor allem von Oracles Verhalten dazu. Das mutet weder professionell noch kundenfreundlich an. Beileibe nicht der problematischste, aber ein sehr illustrativer Aspekt daran ist, dass Oracle dem Angriff – der eine ganze Kaskade von ziemlich peinlichen Sicherheitslücken ausnutzt – nur eine einzelne CVE-Nummer zuordnet. Die Hosts halten nur mit Mühe die Contenance und vermuten weitere Fehler in der Software, die so mit Löchern gespickt scheint. Eine Annahme, die sich schon Stunden nach der Aufzeichnung bewahrheitete.

Nach so viel Frust können sich die Hosts zum Glück einem erfreulichen Thema zuwenden: Sylvester berichtet von Signals neuem Verschlüsselungsprotokoll SPQR, das auch vor zukünftigen Quantencomputern schützen soll. Die Hosts erörtern, welche Probleme Signal damit lösen möchte, warum die Lösung alles andere als trivial ist und welchen Aufwand der Messenger betreibt, damit das neue Protokoll korrekt und fehlerfrei funktioniert.

Oracle liefert zum vierteljährlichen, "Critical Patch Update" (CPU) genannten Patchday im Oktober 374 Softwareflicken aus. Admins sollten prüfen, ob sie betroffene Produkte in ihren Netzen einsetzen, und die Aktualisierungen zügig installieren.

Auf der Übersichtsseite listet Oracle alle betroffenen Produkte und die darin mit den Aktualisierungen geschlossenen Sicherheitslücken auf. Als kritisches Risiko eingestufte Sicherheitslücken sollten besonders zügig angegangen werden. Die finden sich etwa in Oracle GoldenGate, Oracle Communications und zugehörigen Applications, Oracle E-Business Suite, Oracle Financial Services Applications, Oracle Fusion Middleware, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft und Oracle Siebel CRM.

In mehreren Produkten klaffen zudem Sicherheitslecks, die eine kritische Risikoeinstufung nur knapp verfehlen. Auch hier sollten IT-Verantwortliche schnell handeln. Etwa die populäre Virtualisierungssoftware VM Virtualbox weist mehrere hochriskante Schwachstellen auf. Die bessern die nun verfügbaren Updates auf Virtualbox 7.2.4 respektive 7.1.14 aus.

Sicherheitslücken in Oracle-Produkten sind bei Cyberkriminellen begehrt. Erst vergangene Woche musste Oracle außer der Reihe Schwachstellen in der Oracle E-Business-Suite ausbessern. Neben der bereits angegriffenen Zero-Day-Lücke CVE-2025-61882, die mit einem CVSS-Wert von 9.8 als "kritisch" gilt, hatten die Entwickler noch eine weitere gefunden. Die Schwachstelle CVE-2025-61884, eine Server-Side-Request-Forgery, hat als Risikoeinstufung zwar lediglich den CVSS-Wert 7.5, Risiko "hoch", erhalten. Aber auch die hat die US-Cybersicherheitsbehörde CISA inzwischen in den "Known Exploited Vulnerabilities"-Katalog aufgenommen, das heißt, sie wird bereits aktiv im Netz angegriffen. Die ältere Lücke wurde zudem für Erpressungsversuche mit Ransomware missbraucht.

Der nächste planmäßige Oracle-Critical-Patch-Update-Tag findet am 20. Januar 2026 statt.

Eine Sicherheitslücke im Dolby Digital Plus Unified Decoder machte Android, iOS, macOS und Windows anfällig für Angriffe. Sie ermöglichte etwa Zero-Click-Attacken auf Android-Geräte. Aktualisierungen zum Stopfen des Sicherheitslecks stehen bereits zur Verfügung.

Darüber berichtet Googles Project Zero in einem Bug-Eintrag. Aufgrund eines Integer-Überlaufs bei der Verarbeitung von Daten durch den DDPlus Unified Decoder können Schreibzugriffe in einen Heap-artigen Puffer über die vorgesehenen Speichergrenzen hinaus erfolgen. Dadurch lassen sich Strukturen wie Zeiger überschreiben. "Unter Android führt dies zu einer Zero-Click-Schwachstelle, da Android lokal alle Audio-Nachrichten und -Anhänge zur Transkription dekodiert, mit diesem Decoder, und das ohne, dass Nutzer mit dem Gerät interagieren", erklären die Programmierer dort.

Sie haben Beispieldateien erstellt, die die Lücke demonstrieren und einen Absturz anfälliger Geräte auslösen. Getestet haben die IT-Forscher Googles Pixel 9 sowie Samsungs S24, die mit einem SIGSEGV (Segmentation Fault) abstürzten. MacBook Air M1 mit macOS 26.0.1 und iOS 26.0.1 auf einem iPhone 17 Pro stürzten hingegen mit einer "-bounds-safety trap" ab, also Sicherheitsmechanismen in der verwendeten Programmierumgebung. Die IT-Sicherheitsspezialisten haben eingeschleusten Code durch diese Schwachstelle auf Googles Pixel 9 mit Android 16 und Firmware BP2A.250605.031.A2 ausführen können.

Die Schwachstelle gilt dem Bug-Eintrag zufolge als gefixt. Microsoft hat sie vergangene Woche mit den Oktober-Sicherheitsupdates für diverse Windows-Versionen ausgebessert(CVE-2025-54957, CVSS 7.0, Risiko "hoch"). Für ChromeOS hat Google dafür Mitte September eine Betriebssystemaktualisierung verteilt.

Dolby hat eine eigene Sicherheitsmitteilung veröffentlicht, in der das Unternehmen das Sicherheitsrisiko mit einem CVSS-Wert von 6.7 lediglich als "mittel" einstuft. Betroffen sind demnach die Softwareversionen UDC v4.5 bis v4.13. Der Hersteller fordert Anbieter auf, deren Geräte Dolby Digital Plus einsetzen, ihren Dolby-Repräsentanten zu kontaktieren, um die jüngsten Dolby-Digital-Plus-Dateien zu erhalten. Endkunden sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind.

WhatsApp will Spam den Kampf ansagen. Dazu plant die Messenger-Plattform, die Anzahl an Nachrichten einzuschränken, die Privatnutzer und Unternehmen senden können, wenn (unbekannte) Empfänger darauf nicht reagieren.

Das hat das Magazin TechCrunch in Erfahrung gebracht. Demnach rechnet WhatsApp alle Nachrichten, die Nutzer und Unternehmen versenden, auf ein monatliches Budget an – außer, die Absender erhalten eine Antwort. Wie hoch die maximale Anzahl an unbeantworteten Nachrichten vor der Sperre ist, nannte WhatsApp nicht. Die App soll jedoch ein Pop-up-Fenster als Warnung anzeigen, sofern sich Betroffene dem Limit nähern, sodass sie möglicherweise die Blockade noch abwenden können.

Gegenüber TechCrunch hat WhatsApp erklärt, die Funktion "in mehreren Ländern in den kommenden Wochen" scharfzuschalten. Durchschnitts-User seien nicht betroffen, da sie üblicherweise die Grenzen nicht erreichen. Der Mechanismus sei dafür ausgelegt, effektiv gegen Menschen und Geschäfte vorzugehen, die massig Nachrichten verschicken und Leute zuspammen.

Spam-Versand in WhatsApp scheint ein lukratives Geschäftsmodell zu sein. Die IT-Forscher von Socket haben eine Kampagne entdeckt, bei der der Chrome Web Store mit 131 Klonen einer WhatsApp-Web-Automatisierungs-Erweiterung geflutet wurde. Im Visier der Spammer sind derzeit insbesondere brasilianische Nutzerinnen und Nutzer.

Wie die IT-Sicherheitsforscher von Socket in einem Blog-Beitrag berichten, injiziert sich der Code der Browser-Erweiterungen direkt in die WhatsApp-Webseite und läuft dort neben den eigenen Skripten von WhatsApp. Er automatisiert Massenkontakte und plant diese so, dass sie die Anti-Spam-Maßnahmen von WhatsApp unterlaufen. Die Autoren der Original-Erweiterung suchen Kunden, die für die Massen-Spams zahlen – dafür versprechen sie ein Vielfaches an Gewinn – und ihre Marken sowie Webseiten zur Verfügung stellen. Daher ist der gleiche Code mit unterschiedlichen Marken als Aufmacher den Forschern zufolge bereits 131 Mal im Chrome Web Store aufgetaucht. In der Analyse zählen sie alle bösartigen Erweiterungen in den Indizien für eine Infektion (Indicators of Compromise, IOCs) auf. Zudem haben sie die Erweiterungen an Google gemeldet, damit sie aus dem Store entfernt werden.

Seit ein paar Tagen läuft ein Supply-Chain-Angriff über die Marktplätze von Visual Studio Code. Betroffen sind sowohl der Marketplace von Microsoft als auch der alternative Open-VSX-Marktplatz der Eclipse Foundation.

Das auf Endpoint-Security spezialisierte Unternehmen Koi hat eine sich selbst verbreitende Schadsoftware entdeckt und GlassWorm getauft. Die Malware greift nicht nur Zugangsdaten ab, sondern nutzt den Zielrechner mit einem Remote-Access-Trojaner als Proxy-Knoten.

Zumindest im Open-VSX-Marktplatz sind nach wie vor infizierte Pakete vorhanden. Wie die im September auf npm gefundene Schadsoftware Shai Hulud vermehrt sich GlassWorm selbst und nutzt dazu neben der Open VSX Registry unter anderem GitHub und npm.

Koi hat die Malware erstmals in der Open VSX Extension CodeJoy entdeckt. Auf den ersten Blick sieht CodeJoy wie eine reguläre Erweiterung aus, die ein paar nützliche Tools mitbringt. In Version 1.8.3 zeigt die Extension dann erstmals verdächtiges Verhalten wie Netzwerkzugriffe, die nichts mit den eigentlichen Funktionen zu tun hatten.

Wer in Visual Studio Code extensions.autoUpdate aktiviert, erhält automatisch Updates aller Extensions, inklusive potenzieller Malware. Dass scheinbar nützliche Software erst per Update Schadcode erhält, ist keine Seltenheit.

Scans von Sicherheitsforschern zeigen, dass weltweit über 70.000 Firewalls von WatchGuard verwundbar und öffentlich über das Internet erreichbar sind. Ein Sicherheitsupdate, das eine "kritische" Lücke schließt, ist verfügbar. Derzeit gibt es noch keine Berichte zu Attacken, Admins sollten mit dem Patchen aber nicht zu lange zögern.

Darauf weisen Sicherheitsforscher von Shadowserver in einem Beitrag hin. Mit mehr als 20.000 Instanzen führen die USA die Liste an. Danach folgt Deutschland mit rund 7000 Firewalls. Die Sicherheitslücke (CVE-2025-9242) ist seit September bekannt. Seitdem gibt es auch Sicherheitsupdates.

An der Schwachstelle können entfernte Angreifer ohne Authentifizierung für Schadcode-Attacken ansetzen. Die betroffenen Firebox-Modelle listet WatchGuard in einer Warnmeldung auf. Die Entwickler versichern, die Schwachstelle in den folgenden Fireware-OS-Versionen geschlossen zu haben:

Ist eine Installation derzeit nicht möglich, müssen Admins ihre Instanzen über einen temporären Workaround absichern.

Ein Gericht in den USA hat das Tech-Unternehmen NSO Group Technologies dazu verpflichtet, den Messengerdienst WhatsApp nicht mehr anzugreifen. Laut dem Hersteller der Überwachungssoftware "Pegasus" gefährdet diese Entscheidung den Geschäftsbetrieb des Unternehmens.

In dem am vergangenen Freitag verkündeten Urteil erließ US-Bezirksrichterin Phyllis Hamilton eine dauerhafte einstweilige Verfügung, die der NSO Group untersagt, WhatsApp-Nutzer ins Visier zu nehmen. Der Fall wurde vor dem Bezirksgericht der Vereinigten Staaten für den nördlichen Bezirk von Kalifornien in Oakland (Az. 19-CV-07123) verhandelt. Zugleich reduzierte das Gericht die dem WhatsApp-Mutterkonzern Meta zugesprochene Schadensersatzsumme von 167 auf "nur noch" vier Millionen US-Dollar. Richterin Hamilton begründete die Entscheidung damit, dass das Verhalten der NSO Group nicht als "besonders schwerwiegend" einzustufen sei und deshalb keinen so hohen Schadensersatz rechtfertige.

Trotz der Reduzierung der Strafzahlung zeigten sich Verantwortliche von WhatsApp erfreut über den Richterspruch. "Das heutige Urteil verbietet dem Spyware-Hersteller NSO, WhatsApp und unsere weltweiten Nutzer jemals wieder ins Visier zu nehmen", erklärte WhatsApp-Chef Will Cathcart in einer Stellungnahme. "Wir begrüßen diese Entscheidung, die nach sechs Jahren Rechtsstreit gefällt wurde, um NSO für die Überwachung von Mitgliedern der Zivilgesellschaft zur Rechenschaft zu ziehen."

Der Rechtsstreit beschäftigt Gerichte seit vielen Jahren. In einer im Oktober 2019 eingereichten Klage warf der WhatsApp-Mutterkonzern Meta NSO Group vor, bei der Installation der Spionagesoftware Pegasus gegen verschiedene Gesetze verstoßen zu haben. So soll NSO Group Anfang 2019 unrechtmäßig auf WhatsApp-Server zugegriffen und dadurch die Überwachung von 1.400 Personen, darunter Journalisten und Menschenrechtsaktivisten, ermöglicht haben.

Im Jahr 2020 lehnte ein Richter den Antrag von NSO Group auf eine Form der Immunität ab. Gegen diese Entscheidung legte das Unternehmen Berufung ein. Ein Berufungsgericht jedoch bestätigte im Jahr 2021 die Entscheidung. Anfang 2023 wiesen schließlich die Richter des US-Supreme Court die Berufung von NSO Group zurück. In dieser hatte das Unternehmen argumentiert, es sei immun gegen eine Klage, weil es bei der Installation der Spionagesoftware als Agent für nicht identifizierte ausländische Regierungen gehandelt habe.

Der Hersteller Verbatim bekommt die Sicherheit seiner als besonders sicher angepriesenen USB-Datenträger offenbar nicht in den Griff. Die drei Modelle "Keypad Secure USB-Stick", "Store 'n' Go Portable SSD" und "Store 'n' Go Secure Portable HDD" verschlüsseln zwar ihre Daten. Allerdings können Fremde die Verschlüsselung umgehen.

Schon im Jahr 2022 fand der Sicherheitsexperte Matthias Deeg von der SySS GmbH gravierende Sicherheitsmängel. Noch im selben Jahr veröffentlichte Verbatim Firmware-Updates, die die Probleme angehen sollten. Eine neue Untersuchung von Deeg zeigt: Die Updates verbessern zwar die Firmware, gehen aber nicht die grundlegenden Probleme an.

SySS teilt die aktualisierten hauseigenen Security-Kennnummern SYSS-2025-015, SYSS-2025-016 und SYSS-2025-017 – CVE-Einträge gibt es dazu (noch) nicht – und nennt ein hohes Risiko. Es stellt sich die Frage, ob Verbatim das grundlegende Hardware-Design überhaupt absichern kann.

Alle drei USB-Medien verwenden das gleiche Prinzip: Im Inneren sitzen ein SATA-Datenträger, ein Brückenchip von USB zu SATA, ein Speicherbaustein für die Firmware und ein Keypad-Controller. Letzterer ist mit einem Tastenfeld verbunden. Das Gerät entschlüsselt seine Daten, wenn der Nutzer die korrekte PIN bestehend aus 5 bis 12 Ziffern eingibt.

Matthias Deeg

Im Zuge der Operation SIMCARTEL haben Europol und Eurojust die IT-Infrastruktur eines Betrügerrings beschlagnahmt. Den Angaben der Ermittler zufolge zeichnen die Kriminellen europaweit für Schäden in Höhe von rund fünf Millionen Euro verantwortlich.

Wie aus einem Bericht von Europol hervorgeht, kam es im Zuge der Operation unter anderem zu fünf Festnahmen. Außerdem wurden Server, 40.000 aktive SIM-Karten und vier Luxusautos beschlagnahmt. Der Großteil der Straftaten geht auf Österreich und Lettland zurück. Andere Kriminelle konnten den Ermittlern zufolge die "Dienste" für ihre Machenschaften nutzen. Das wurde über eine professionelle Website realisiert.

Die Ermittler geben an, dass das Herzstück der IT-Infrastruktur ein Telekommunikationsnetzwerk mit rund 40.000 aktiven SIM-Karten war. Darüber haben die Kriminellen etwa betrügerische Anrufe getätigt und Fake-Accounts bei Webservices erstellt. Dazu gehört unter anderem der Enkeltrick, bei dem ein vermeintlicher Verwandter in einer gefakten Notsituation Opfer kontaktiert, um Vertrauen aufzubauen und letztlich Geld abzustauben.

Zusätzlich wurden Accounts bei Secondhand-Marktplätzen erstellt, um dort zu betrügen. Weiterhin haben die Betrüger für Phishing-Attacken Fakeshops und Bankingwebsites betrieben und sich als Polizeiermittler ausgegeben, um Opfer aufs Glatteis zu locken.

Derzeit bestimmen die Ermittler das Ausmaß der kriminellen Machenschaften. Sie geben an, dass nach jetzigem Kenntnisstand mehr als 49 Millionen Fake-Accounts über das Netzwerk erstellt worden seien. Bei den Ermittlungen haben Estland, Finnland, Lettland und Österreich mitgewirkt.

Netzwerk-Admins sollten zeitnah ihre Security Appliances und Router von Moxa auf den aktuellen Stand bringen. Geschieht das nicht, könnten Angreifer an mehreren Sicherheitslücken ansetzen und Geräte vollständig kompromittieren.

In einer Warnmeldung führen die Entwickler aus, dass sie insgesamt fünf Schwachstellen geschlossen haben. Davon sind drei Lücken (CVE-2025-6950, CVE-2025-6949, CVE-2025-6893) mit dem Bedrohungsgrad "kritisch" eingestuft. Setzen Angreifer erfolgreich an diesen Schwachstellen an, können sie unter anderem aufgrund eines statischen Schlüssels gültige Tokens erzeugen und sich so als beliebiger Nutzer anmelden. Im Anschluss können sie Geräte mit weitreichenden Rechten komplett übernehmen.

In einem anderen Fall können Angreifer mit niedrigen Nutzerrechten Admin-Accounts erstellen und Systeme so kompromittieren. Für eine weitere Attacke muss ein Angreifer ebenfalls bereits authentifiziert sein. Ist das gegeben, kann er aufgrund eines Fehlers bei der Zugangskontrolle System- und Konfigurationsdaten verändern.

Aufgrund eines Fehlers in der Authentifizierungs-API (CVE-2025-6892 "hoch") können Angreifer auf Endpoints mit administrativen Berechtigungen zugreifen. Vor einem Angriff muss sich aber bereits ein legitimer Nutzer angemeldet haben.

Konkret betroffen sind die Produktserien EDR-G9010 Series, EDR-8010 Series, EDF-G1002-BP Series, TN-4900 Series, NAT-102 Series, NAT-108 Series und OnCell G4302-LTE4 Series. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Moxa rät Besitzern von betroffenen Geräten dennoch zu einem zügigen Update auf die gegen die geschilderten Attacken gerüstete Version v3.21.

Nach der Installation der Update-Vorschauen vom Ende September oder der Sicherheitsupdates aus dem Oktober in Windows kann es zu einigen unerwarteten Nebenwirkungen kommen. Microsoft berichtet von fehlschlagender Authentifizierung mit Smartcards, nicht funktionierender Maus und Tastatur in der Windows-Wiederherstellungsumgebung oder dem Fehlschlagen des Ladens von IIS-Webseiten von localhost.

Wie Microsoft in den Windows-Release-Health-Notizen erklärt, kann nach dem Anwenden der Update-Vorschau aus September oder den Patchday-Updates das Laden von Webseiten vom Internet Information Server (IIS) mit Fehlermeldungen wie "Connection reset - error (ERR_CONNECTION_RESET)" oder ähnlichen fehlschlagen. Das tritt bei serverseitigen Anwendungen auf, die auf HTTP.sys aufsetzen. Betroffen sind auch Webseiten, die auf http://localhost/ gehostet sind und andere IIS-Verbindungen. Betroffene Geräte sollen Admins nach Updates suchen lassen, gegebenenfalls verfügbare Aktualisierungen anwenden lassen und im Anschluss das Gerät neu starten – auch, wenn augenscheinlich kein Update verfügbar war. Das Problem hat Microsoft vorerst mit einem "Known Issues Rollback" (KIR) gelöst.

Außerdem funktionieren nach dem Anwenden der Oktober-Sicherheitsupdates USB-Geräte wie Tastaturen und Mäuse nicht mehr in der Windows-Wiederherstellungsumgebung (WinRE), teilt Microsoft mit. Das verhindert das Navigieren in den Wiederherstellungsoptionen. Microsoft bemüht sich, klarzustellen, dass USB-Tastaturen und -Mäuse im Windows-Betriebssystem jedoch normal funktionieren. Eine Lösung will der Hersteller dafür in den kommenden Tagen liefern.

Die Sicherheitsupdates aus dem Oktober können zudem Hakeleien bei der Authentifizierung mit Smartcards auslösen. Wie die Entwickler in den Windows-Release-Health-Notizen schreiben, können Smartcard-Nutzerinnen und -Nutzer Fehlermeldungen wie "Invalid provider type specified" oder "CryptAcquireCertificatePrivateKey error" erhalten. Smartcards werden nicht als Cryptographic Service Provider (CSP) in 32-Bit-Anwendungen erkannt, es lassen sich damit keine Dokumente signieren oder es treten Fehler in Apps auf, die auf Zertifikat-basierte Authentifizierung setzen. Das geht auf eine Verbesserung der Windows-Sicherheit zurück, wodurch der Key Storage Provider (KSP) anstatt des Certificate Service Providers (CSP) für RSA-basierte Smartcard-Zertifikate zum Zuge kommt. Ob die eigenen Smartcards betroffen sind, lässt sich in den System-Ereignisprotokollen an Einträgen mit der Event-ID 624 erkennen – bereits vor der Anwendung der Oktober-Sicherheitspatches.

Admins können sich mit Registry-Änderungen behelfen. Unter dem Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais müssen sie dazu den Eintrag DisableCapiOverrideForRSA auf 0 setzen. Sofern der Schlüssel nicht existiert, muss er angelegt werden. Microsoft nennt den Typ nicht, allerdings ist ein DWORD (32 Bit) hierfür anzunehmen.

Eine Sicherheitslücke in der Proxy-Software Squid kann dazu führen, dass Angreifer an Zugangsdaten gelangen. Die Entwickler stufen das Risiko mit Höchstwertung ein und stellen ein Update bereit, das die Schwachstelle ausbessert. IT-Verantwortliche sollten es zügig installieren.

Die Fehlerbeschreibung der Squid-Programmierer lautet: "Aufgrund einer fehlenden Maskierung der HTTP-Authentifizierungsdaten ist Squid anfällig für Angriffe zur Offenlegung von Informationen." Das Problem erlaube Skripten, Browser-Schutzmaßnahmen zu umgehen und an die Zugangsdaten von Clients zu gelangen. Ein Client aus dem Netz könnte Sicherheitstoken oder Zugangsdaten abgreifen, die Web-Apps intern nutzen, die Squid zum Load-Balancing einsetzen. Die Entwickler weisen zudem darauf hin, dass es zum Missbrauch der Schwachstelle nicht nötig ist, dass Squid mit HTTP-Authentifizierung konfiguriert wurde.

Die Entwickler stopfen das potenzielle Datenleck in Version 7.2 von Squid. Zudem steht der Patch auch für stabile Entwicklungsversionen zur Verfügung. Wer Squid als Paket einer Distribution einsetzt, sollte sich in der Softwareverwaltung nach Updates mit dem Sicherheitspatch umsehen. Als temporäre Gegenmaßnahme geben die Entwickler an, dass Squid-Admins Debug-Informationen in Administrator-Mailto-Links von Squid deaktivieren können. Das erledigt der Eintrag email_err_data off in der Datei squid.conf. Der Dienst liest die geänderte Konfiguration nach einem Neustart ein.

Ob die eigene Instanz verwundbar ist, soll der Aufruf von squid -k parse 2>&1 | grep "email_err_data" aufzeigen. Sofern das Ergebnis lautet email_err_data off, ist die Squid-Instanz nicht anfällig. Alle Squid-Versionen bis einschließlich 7.1 mit email_err_data on sind verwundbar, sowie alle Squid-Fassungen einschließlich 7.1 ohne Rückgabe zu email_err_data, erklären die Programmierer.

Ende 2023 hatte der IT-Sicherheitsforscher Joshua Rogers von 55 Sicherheitslücken im Web-Cache Squid berichtet, von denen zu dem Zeitpunkt noch mindestens 35 offenstanden. Die Programmierer hatten diese sukzessive geschlossen.