Comretix Blog

Admins von Samba Active Directory (AD)-Domänencontrollern, die auf von ihnen betreuten Servern den Support für WINS (Windows Internet Name Service) aktiviert und zusätzlich den "wins hook"-Parameter gesetzt haben, sollten zügig handeln: In der freien Implementierung des SMB-Protokolls klafft eine kritische Lücke mit CVSS-Höchstwertung 10.0 "Critical", die auf eben diese Nicht-Default-Konfiguration abzielt.

Verwundbar sind bei entsprechender Konfiguration alle Samba-Versionen seit 4.0. Die Entwickler haben Patches (Samba 4.23.2, 4.22.5 und 4.21.9) bereitgestellt und einen Workaround veröffentlicht.

Alle Lücken-Details schlüsselt das Samba-Advisory zu CVE-2025-10230 auf; die Patches können von der Security-Release-Site heruntergeladen werden.

Laut Samba-Entwicklern fußt die Sicherheitslücke auf mangelhaften Validierungsmechanismen des veralteten WINS-Protokolls zur zentralen Namensauflösung in lokalen Netzwerken. Clients, die ihre Namen beim Server registrierten, konnten dabei offenbar freie Namenswahl betreiben ("clients can request any name that fits within the 15 character NetBIOS limit") und auch Shell-Metazeichen übermitteln.

Auf diese Weise wäre es unauthentifizierten Angreifern schlimmstenfalls möglich gewesen, aus der Ferne schädliche Befehle abzusetzen und Code auszuführen (Remote Code Execution).

Admins von Samba Active Directory (AD)-Domänencontrollern, die auf von ihnen betreuten Servern den Support für WINS (Windows Internet Name Service) aktiviert und zusätzlich den "wins hook"-Parameter gesetzt haben, sollten zügig handeln: In der freien Implementierung des SMB-Protokolls klafft eine kritische Lücke mit CVSS-Höchstwertung 10.0 "Critical", die auf eben diese Nicht-Default-Konfiguration abzielt.

Verwundbar sind bei entsprechender Konfiguration alle Samba-Versionen seit 4.0. Die Entwickler haben Patches (Samba 4.23.2, 4.22.5 und 4.21.9) bereitgestellt und einen Workaround veröffentlicht.

Alle Lücken-Details schlüsselt das Samba-Advisory zu CVE-2025-10230 auf; die Patches können von der Security-Release-Site heruntergeladen werden.

Laut Samba-Entwicklern fußt die Sicherheitslücke auf mangelhaften Validierungsmechanismen des veralteten WINS-Protokolls zur zentralen Namensauflösung in lokalen Netzwerken. Clients, die ihre Namen beim Server registrierten, konnten dabei offenbar freie Namenswahl betreiben ("clients can request any name that fits within the 15 character NetBIOS limit") und auch Shell-Metazeichen übermitteln.

Auf diese Weise wäre es unauthentifizierten Angreifern schlimmstenfalls möglich gewesen, aus der Ferne schädliche Befehle abzusetzen und Code auszuführen (Remote Code Execution).

Die Maintainer von Tails haben dem anonymisierenden Linux-Livesystem eine Aktualisierung spendiert.

Nachdem das vor rund einem Monat erschienene Tails 7.0 umfangreiche Neuerungen – darunter ein Upgrade auf Debian 13, Änderungen an der GNOME-Desktopumgebung und neue Tools – mitbrachte, sind die Neuerungen in Version 7.1 eher überschaubar. Gemäß der Ausrichtung des Linux-OS auf Anonymität und Privatsphäre sollten sicherheitsorientierte Nutzer dennoch nicht versäumen, verfügbare Upgrades zeitnah durchzuführen.

Laut Release-Informationen zu Tails 7.1 hat die neue Version Thunderbird in der ESR (Extended Support Release)-Fassung 140.3.0 an Bord. Den integrierten Tor Browser haben die Entwickler auf die vergangene Woche veröffentlichte Version 14.5.8 angehoben, der Tor Client kommt in Version 0.4.8.19.

Tails 7.1: Der Tor-Browser zeigt beim Öffnen künftig diese Startseite an.

(Bild: tails.net)

Die Maintainer von Tails haben dem anonymisierenden Linux-Livesystem eine Aktualisierung spendiert.

Nachdem das vor rund einem Monat erschienene Tails 7.0 umfangreiche Neuerungen – darunter ein Upgrade auf Debian 13, Änderungen an der GNOME-Desktopumgebung und neue Tools – mitbrachte, sind die Neuerungen in Version 7.1 eher überschaubar. Gemäß der Ausrichtung des Linux-OS auf Anonymität und Privatsphäre sollten sicherheitsorientierte Nutzer dennoch nicht versäumen, verfügbare Upgrades zeitnah durchzuführen.

Laut Release-Informationen zu Tails 7.1 hat die neue Version Thunderbird in der ESR (Extended Support Release)-Fassung 140.3.0 an Bord. Den integrierten Tor Browser haben die Entwickler auf die vergangene Woche veröffentlichte Version 14.5.8 angehoben, der Tor Client kommt in Version 0.4.8.19.

Tails 7.1: Der Tor-Browser zeigt beim Öffnen künftig diese Startseite an.

(Bild: tails.net)

Nach mehreren großangelegten Angriffswellen auf das NPM-Ökosystem ergreifen dessen Betreiber nun Maßnahmen, um eine Wiederholung zu verhindern. Im August und September hatten Unbekannte nicht nur mehrere Entwicklerkonten übernommen, sondern auch einen Wurm eingeschleust, der selbstständig weitere Node-Projekte infizierte. Um sich zu verbreiten, nutzte "Shai-Hulud" Authentifizierungs-Token, denen es jetzt an den Kragen geht.

Die ersten Schritte ist NPM-Betreiber GitHub bereits gegangen – seit dem 13. Oktober sind granulare NPM-Zugriffstoken nicht mehr unbegrenzt lange, sondern nur noch maximal 90 Tage gültig, die Standardlaufzeit beträgt nun 7 statt 30 Tage. Eine Zwei-Faktor-Authentifizierung mittels TOTP (Time-based One-Time Password) kann für NPM-Paketverwalter nicht mehr neu eingerichtet werde. Wer TOTP bereits als zweiten Faktor zur Anmeldung nutzt, kann dabei vorerst bleiben, wird aber bald auf WebAuthn/Passkeys umstellen müssen.

Die sogenannten "Classic Tokens" zur Authentifizierung (etwa in Automatisierungen oder CI/CD Pipelines) trägt GitHub bis Anfang November vollständig zu Grabe. Bestehende Token für NPM-Paketherausgeber zieht das Unternehmen ein und auf npmjs.com lassen sich künftig keine neuen mehr erstellen. Betroffene müssen sich umgehend um neue, granulare Token kümmern und ihre Automatisierungen aktualisieren, damit diese nach der Umstellung nicht vor die sprichwörtliche Wand laufen.

Mit diesen Schritten setzt GitHub eine Ankündigung aus Ende September teilweise in die Tat um – Entwickler und DevOps sind gefordert. Deren Verantwortung unterstreicht GitHub ausdrücklich: "Wir verstehen, dass diese Änderungen Aufwand von der Gemeinschaft verlangen. NPM abzusichern, ist eine geteilte Verantwortlichkeit." Die Änderungen verursachten vorübergehend Reibungen, seien aber notwendig, um künftigen Angriffen begegnen zu können.

Und gegenüber der September-Ankündigung tritt die zu Microsoft gehörende Entwicklerplattform sogar noch etwas mehr aufs Gaspedal: War dort noch von Mitte November als Löschzeitpunkt für "Classic Tokens" die Rede, spricht GitHub in einer an Entwickler verschickten E-Mail von Anfang desselben Monats. Kurios: Obgleich erste Schritte bereits am Montag, dem 13. Oktober starteten, erhielten einige npm-Paketverantwortliche den Newsletter erst drei Tage später.

Nach mehreren großangelegten Angriffswellen auf das NPM-Ökosystem ergreifen dessen Betreiber nun Maßnahmen, um eine Wiederholung zu verhindern. Im August und September hatten Unbekannte nicht nur mehrere Entwicklerkonten übernommen, sondern auch einen Wurm eingeschleust, der selbstständig weitere Node-Projekte infizierte. Um sich zu verbreiten, nutzte "Shai-Hulud" Authentifizierungs-Token, denen es jetzt an den Kragen geht.

Die ersten Schritte ist NPM-Betreiber GitHub bereits gegangen – seit dem 13. Oktober sind granulare NPM-Zugriffstoken nicht mehr unbegrenzt lange, sondern nur noch maximal 90 Tage gültig, die Standardlaufzeit beträgt nun 7 statt 30 Tage. Eine Zwei-Faktor-Authentifizierung mittels TOTP (Time-based One-Time Password) kann für NPM-Paketverwalter nicht mehr neu eingerichtet werde. Wer TOTP bereits als zweiten Faktor zur Anmeldung nutzt, kann dabei vorerst bleiben, wird aber bald auf WebAuthn/Passkeys umstellen müssen.

Die sogenannten "Classic Tokens" zur Authentifizierung (etwa in Automatisierungen oder CI/CD Pipelines) trägt GitHub bis Anfang November vollständig zu Grabe. Bestehende Token für NPM-Paketherausgeber zieht das Unternehmen ein und auf npmjs.com lassen sich künftig keine neuen mehr erstellen. Betroffene müssen sich umgehend um neue, granulare Token kümmern und ihre Automatisierungen aktualisieren, damit diese nach der Umstellung nicht vor die sprichwörtliche Wand laufen.

Mit diesen Schritten setzt GitHub eine Ankündigung aus Ende September teilweise in die Tat um – Entwickler und DevOps sind gefordert. Deren Verantwortung unterstreicht GitHub ausdrücklich: "Wir verstehen, dass diese Änderungen Aufwand von der Gemeinschaft verlangen. NPM abzusichern, ist eine geteilte Verantwortlichkeit." Die Änderungen verursachten vorübergehend Reibungen, seien aber notwendig, um künftigen Angriffen begegnen zu können.

Und gegenüber der September-Ankündigung tritt die zu Microsoft gehörende Entwicklerplattform sogar noch etwas mehr aufs Gaspedal: War dort noch von Mitte November als Löschzeitpunkt für "Classic Tokens" die Rede, spricht GitHub in einer an Entwickler verschickten E-Mail von Anfang desselben Monats. Kurios: Obgleich erste Schritte bereits am Montag, dem 13. Oktober starteten, erhielten einige npm-Paketverantwortliche den Newsletter erst drei Tage später.

Sowohl für Mozillas Firefox und Thunderbird als auch für Googles Chrome-Browser gibt es Aktualisierungen. Kritische Schwachstellen wurden nicht geschlossen – wohl aber einige Lücken mit "High"-Einstufung, die Cybergangster ausnutzen könnten.

Bislang wurde derlei bei den aktuellen Lücken noch nicht beobachtet; dennoch ist baldiges Updaten ratsamer, als es darauf ankommen zu lassen. Bei aktivierter Updatefunktion passiert das in der Regel automatisch. Die neue Firefox-Version 144 steht zudem auch auf der zugehörigen Ankündigungsseite zum Download bereit.

Die neuen Stable-Channel-Versionen 141.0.7390.107/.108 für Windows und macOS sowie 141.0.7390.107 für Linux beheben eine Chrome-Sicherheitslücke, von der laut Google ein hohes Risiko ausgeht. Auch die Chrome-Fassung für Android war vor der neuen, abgesicherten Fassung 141.0.7390.111 von der Lücke betroffen.

Die betreffende Lücke CVE-2025-11756 ("High") steckt im Safe-Browsing-Feature. Es handelt sich um eine Use-after-free-Schwachstelle, bei der freigegebener Speicher unzulässigerweise weitergenutzt wird. Weitere Details verrät Googles Ankündigung zum Stable Channel Update aber nicht.

Wer tiefer in technische Interna einsteigen möchte, kann das Changelog der Chromium-Codebasis studieren.

Sowohl für Mozillas Firefox und Thunderbird als auch für Googles Chrome-Browser gibt es Aktualisierungen. Kritische Schwachstellen wurden nicht geschlossen – wohl aber einige Lücken mit "High"-Einstufung, die Cybergangster ausnutzen könnten.

Bislang wurde derlei bei den aktuellen Lücken noch nicht beobachtet; dennoch ist baldiges Updaten ratsamer, als es darauf ankommen zu lassen. Bei aktivierter Updatefunktion passiert das in der Regel automatisch. Die neue Firefox-Version 144 steht zudem auch auf der zugehörigen Ankündigungsseite zum Download bereit.

Die neuen Stable-Channel-Versionen 141.0.7390.107/.108 für Windows und macOS sowie 141.0.7390.107 für Linux beheben eine Chrome-Sicherheitslücke, von der laut Google ein hohes Risiko ausgeht. Auch die Chrome-Fassung für Android war vor der neuen, abgesicherten Fassung 141.0.7390.111 von der Lücke betroffen.

Die betreffende Lücke CVE-2025-11756 ("High") steckt im Safe-Browsing-Feature. Es handelt sich um eine Use-after-free-Schwachstelle, bei der freigegebener Speicher unzulässigerweise weitergenutzt wird. Weitere Details verrät Googles Ankündigung zum Stable Channel Update aber nicht.

Wer tiefer in technische Interna einsteigen möchte, kann das Changelog der Chromium-Codebasis studieren.

Der Netzwerkanbieter F5 sieht sich mit einem Datenleck konfrontiert, das offenbar lange Zeit bestand und bei dem Quellcode und bisher unveröffentlichte Sicherheitslücken abhandenkamen. Dutzende Flicken für seine BIG-IP-Appliance und andere Produkte müssen Admins nun dringend einspielen, sonst drohen weitere Einbrüche. Das veranlasst auch die US-Cybersicherheitsbehörde CISA und ihr britisches Gegenstück zu einer dringenden Warnung.

Wie die Angreifer ins F5-Netzwerk eingedrungen sind, lässt der Hersteller im Unklaren, doch haben die Nachforschungen einen Datenabfluss bestätigt. So sei Quellcode für BIG-IP in unbefugte Hände gelangt, gemeinsam mit Informationen über bekannte, aber zum Zeitpunkt des Angriffs noch nicht behobene Sicherheitslücken niedrigen, mittleren und hohen Schweregrads. Die sind für Exploit-Entwickler ein gefundenes Fressen – sie dürften sich unmittelbar an die Arbeit gemacht und Malware auf die Lücken maßgeschneidert haben. Ebenso fatal: Für einige F5-Kunden waren in den angegriffenen Systemen spezifische Konfigurations- und Implementierungshinweise hinterlegt, die dann für gezielte Attacken missbraucht werden können.

F5 legt Wert auf die Feststellung, dass weder Sicherheitslücken kritischen Schweregrads noch solche mit Möglichkeiten zur Codeausführung (RCE) in die Hände der Angreifer gelangt seien. Ein schwacher Trost, denn: Mit dem erbeuteten Quellcode könnten diese gezielt nach solchen Lücken suchen. Immerhin: Der oder die Angreifer hatten offenbar keinen Zugriff auf die Entwicklungs-Infrastruktur für den Webserver NGINX, der seit sechs Jahren zu F5 gehört. Und Kunden-, Finanz- oder Supportdatenbanken blieben nach Erkenntnissen des Herstellers ebenfalls verschont.

Die Software-Supply-Chain und der Buildprozess seien hingegen nicht betroffen, hätte eine Untersuchung gemeinsam mit den Sicherheitsspezialisten der NCC Group und IOActive ergeben. Die Aussage passt jedoch nicht so recht zu einem weiteren Beutestück. Denn offenbar gerieten die zur Software- und Image-Signatur verwendeten Schlüssel ebenfalls in die Hände der Angreifer, denn der Hersteller hat die privaten Schlüssel und Zertifikate ausgetauscht.

Wie F5 in einem Support-Artikel erklärt, sind dadurch ältere Versionen nicht mehr in der Lage, die mit den neueren Schlüsseln signierten Versionen zu verifizieren, was sich auf Installationen, Updates und das Ausrollen virtueller Maschinen auswirken könnte.

Der Netzwerkanbieter F5 sieht sich mit einem Datenleck konfrontiert, das offenbar lange Zeit bestand und bei dem Quellcode und bisher unveröffentlichte Sicherheitslücken abhandenkamen. Dutzende Flicken für seine BIG-IP-Appliance und andere Produkte müssen Admins nun dringend einspielen, sonst drohen weitere Einbrüche. Das veranlasst auch die US-Cybersicherheitsbehörde CISA und ihr britisches Gegenstück zu einer dringenden Warnung.

Wie die Angreifer ins F5-Netzwerk eingedrungen sind, lässt der Hersteller im Unklaren, doch haben die Nachforschungen einen Datenabfluss bestätigt. So sei Quellcode für BIG-IP in unbefugte Hände gelangt, gemeinsam mit Informationen über bekannte, aber zum Zeitpunkt des Angriffs noch nicht behobene Sicherheitslücken niedrigen, mittleren und hohen Schweregrads. Die sind für Exploit-Entwickler ein gefundenes Fressen – sie dürften sich unmittelbar an die Arbeit gemacht und Malware auf die Lücken maßgeschneidert haben. Ebenso fatal: Für einige F5-Kunden waren in den angegriffenen Systemen spezifische Konfigurations- und Implementierungshinweise hinterlegt, die dann für gezielte Attacken missbraucht werden können.

F5 legt Wert auf die Feststellung, dass weder Sicherheitslücken kritischen Schweregrads noch solche mit Möglichkeiten zur Codeausführung (RCE) in die Hände der Angreifer gelangt seien. Ein schwacher Trost, denn: Mit dem erbeuteten Quellcode könnten diese gezielt nach solchen Lücken suchen. Immerhin: Der oder die Angreifer hatten offenbar keinen Zugriff auf die Entwicklungs-Infrastruktur für den Webserver NGINX, der seit sechs Jahren zu F5 gehört. Und Kunden-, Finanz- oder Supportdatenbanken blieben nach Erkenntnissen des Herstellers ebenfalls verschont.

Die Software-Supply-Chain und der Buildprozess seien hingegen nicht betroffen, hätte eine Untersuchung gemeinsam mit den Sicherheitsspezialisten der NCC Group und IOActive ergeben. Die Aussage passt jedoch nicht so recht zu einem weiteren Beutestück. Denn offenbar gerieten die zur Software- und Image-Signatur verwendeten Schlüssel ebenfalls in die Hände der Angreifer, denn der Hersteller hat die privaten Schlüssel und Zertifikate ausgetauscht.

Wie F5 in einem Support-Artikel erklärt, sind dadurch ältere Versionen nicht mehr in der Lage, die mit den neueren Schlüsseln signierten Versionen zu verifizieren, was sich auf Installationen, Updates und das Ausrollen virtueller Maschinen auswirken könnte.

SMS-Nachrichten abfangen und so WhatsApp-Konten übernehmen? Genaue Bewegungsprofile beliebiger Ziele im In- und Ausland? Anrufe abhören und Daten umleiten? All das ermöglichte das Unternehmen "First Wap International" wohl seinen Kunden, wie eine gemeinsame Recherche von zahlreichen Medien – darunter der Spiegel und das ZDF – unter Federführung des Recherchekollektivs Lighthouse Reports ergab. Das Produkt mit dem mystischen Namen "Altamides" nutzte das SS7-Protokoll (Signalling System 7), um sich in Mobilfunknetze einzuklinken. Alles nur ein Missverständnis, wiegelt das indonesisch-österreichische Unternehmen ab, doch die Fallzahlen gehen in die Tausende.

Auf der Spionage- und Sicherheitsmesse "ISS World" präsentierte sich das Unternehmen – Eigenschreibweise "1stWAP" – mit einem eigenen Stand. Der offensichtlich KI-generierte Standhintergrund stilisiert eine Hand, die nach Daten greift – davor führt der österreichische Vertriebsdirektor Günther R. ein offenes Gespräch mit einem Interessenten. Der direkte Zugriff auf Mobilgeräte, den der angeblich im Auftrag eines westafrikanischen Bergbauunternehmers Anfragende im Sinn hat, sei zu teuer, koste oft Zehntausende. Er sollte seine Vorgehensweise überdenken.

Dann kommt "Altamides" ins Spiel. Das Produkt des Unternehmens – der Name stammt nicht aus dem griechischen Pantheon, sondern steht für "Advanced Location Tracking and Deception System" – könne etwa selektiv Nachrichten wie OTP-Codes ausleiten und so die Übernahme beliebiger Messengerkonten erleichtern. Möglich sei das über Zugriff auf das sogenannte SS7-Netzwerk, mit dem sich Telefonnetzbetreiber weltweit miteinander verbinden. Man sei vermutlich das einzige Unternehmen, das mithilfe dieser Technologie das Vorhaben des Interessenten umsetzen könne. Der wollte nämlich im Auftrag eines unter internationalen Sanktionen stehenden Minenunternehmers Umweltschützer überwachen lassen, erklärte er den First-Wap-Vertrieblern.

Doch das war nur eine Legende, erdacht von einem internationalen Team investigativer Journalisten. Das war First Wap durch eine Sammlung von mehr als einer Million Überwachungsdatensätzen auf die Spur gekommen, mit mehr als 14.000 Betroffenen weltweit. Die meisten Überwachungsvorgänge datierten in die Frühzeit der Smartphone-Ära zwischen 2007 und 2014, doch First Wap ist noch immer aktiv. Auch interne E-Mails und Dokumente des Unternehmens fielen den Reportern in die Hände und zeigten: First Wap arbeitete offenbar mit autoritären Staaten und Auftraggebern aus der Industrie zusammen. Das widerspricht dem allgemeinen Narrativ der verschwiegenen Branche, das lautet: Nur zur Bekämpfung schwerer Kriminalität und ausschließlich für Regierungen stünden die Überwachungswerkzeuge zur Verfügung, in der Vergangenheit ans Licht gekommener Missbrauch sei eine unrühmliche Ausnahme.

Doch "Abdou", der Auftraggeber aus dem westafrikanischen Niger, ist von den Technologie-Exportbeschränkungen gegen das Land betroffen, daher schlug der umtriebige Vertriebsdirektor den Undercover-Journalisten einen Kunstgriff vor. Bei derlei Geschäften, so der Österreicher, müsse er Vorsicht walten lassen, um nicht im Gefängnis zu landen. Daher könne man den Deal über die indonesische Hauptstelle abwickeln, der aus Indien stammende Geschäftsführer unterliege nicht denselben Beschränkungen und könne alles abzeichnen.

SMS-Nachrichten abfangen und so WhatsApp-Konten übernehmen? Genaue Bewegungsprofile beliebiger Ziele im In- und Ausland? Anrufe abhören und Daten umleiten? All das ermöglichte das Unternehmen "First Wap International" wohl seinen Kunden, wie eine gemeinsame Recherche von zahlreichen Medien – darunter der Spiegel und das ZDF – unter Federführung des Recherchekollektivs Lighthouse Reports ergab. Das Produkt mit dem mystischen Namen "Altamides" nutzte das SS7-Protokoll (Signalling System 7), um sich in Mobilfunknetze einzuklinken. Alles nur ein Missverständnis, wiegelt das indonesisch-österreichische Unternehmen ab, doch die Fallzahlen gehen in die Tausende.

Auf der Spionage- und Sicherheitsmesse "ISS World" präsentierte sich das Unternehmen – Eigenschreibweise "1stWAP" – mit einem eigenen Stand. Der offensichtlich KI-generierte Standhintergrund stilisiert eine Hand, die nach Daten greift – davor führt der österreichische Vertriebsdirektor Günther R. ein offenes Gespräch mit einem Interessenten. Der direkte Zugriff auf Mobilgeräte, den der angeblich im Auftrag eines westafrikanischen Bergbauunternehmers Anfragende im Sinn hat, sei zu teuer, koste oft Zehntausende. Er sollte seine Vorgehensweise überdenken.

Dann kommt "Altamides" ins Spiel. Das Produkt des Unternehmens – der Name stammt nicht aus dem griechischen Pantheon, sondern steht für "Advanced Location Tracking and Deception System" – könne etwa selektiv Nachrichten wie OTP-Codes ausleiten und so die Übernahme beliebiger Messengerkonten erleichtern. Möglich sei das über Zugriff auf das sogenannte SS7-Netzwerk, mit dem sich Telefonnetzbetreiber weltweit miteinander verbinden. Man sei vermutlich das einzige Unternehmen, das mithilfe dieser Technologie das Vorhaben des Interessenten umsetzen könne. Der wollte nämlich im Auftrag eines unter internationalen Sanktionen stehenden Minenunternehmers Umweltschützer überwachen lassen, erklärte er den First-Wap-Vertrieblern.

Doch das war nur eine Legende, erdacht von einem internationalen Team investigativer Journalisten. Das war First Wap durch eine Sammlung von mehr als einer Million Überwachungsdatensätzen auf die Spur gekommen, mit mehr als 14.000 Betroffenen weltweit. Die meisten Überwachungsvorgänge datierten in die Frühzeit der Smartphone-Ära zwischen 2007 und 2014, doch First Wap ist noch immer aktiv. Auch interne E-Mails und Dokumente des Unternehmens fielen den Reportern in die Hände und zeigten: First Wap arbeitete offenbar mit autoritären Staaten und Auftraggebern aus der Industrie zusammen. Das widerspricht dem allgemeinen Narrativ der verschwiegenen Branche, das lautet: Nur zur Bekämpfung schwerer Kriminalität und ausschließlich für Regierungen stünden die Überwachungswerkzeuge zur Verfügung, in der Vergangenheit ans Licht gekommener Missbrauch sei eine unrühmliche Ausnahme.

Doch "Abdou", der Auftraggeber aus dem westafrikanischen Niger, ist von den Technologie-Exportbeschränkungen gegen das Land betroffen, daher schlug der umtriebige Vertriebsdirektor den Undercover-Journalisten einen Kunstgriff vor. Bei derlei Geschäften, so der Österreicher, müsse er Vorsicht walten lassen, um nicht im Gefängnis zu landen. Daher könne man den Deal über die indonesische Hauptstelle abwickeln, der aus Indien stammende Geschäftsführer unterliege nicht denselben Beschränkungen und könne alles abzeichnen.

Die Kommunikation über Satelliten ist weiterhin unsicher: Für eine aktuelle Studie haben Forscher aus den USA die Daten abgehört, die über geostationäre Satelliten verbreitet werden. Ein großer Teil davon sei unverschlüsselt, das gelte auch für sicherheitsrelevante Kommunikation.

"Ein erschreckend großer Teil des Datenverkehrs wird unverschlüsselt übertragen", schreibt das Team der University of California in San Diego (UCSD) und der University of Maryland in College Park auf seiner Website. Darunter seien die Daten von kritischen Infrastrukturen, die interne Kommunikation von Unternehmen und Regierungsstellen sowie Telefonate, SMS oder Internet-Traffic aus Flugzeug-WLANs und Mobilfunknetzen gewesen.

Für die Studie installierte das Team um Wenyi Morty Zhang auf einem UCSD-Gebäude eine handelsübliche Satellitenschlüssel; die gesamte Ausrüstung kostete rund 800 US-Dollar. Die Schüssel richteten die Forscher jeweils auf einen der 39 von ihrem Standpunkt aus sichtbaren, geostationären Satelliten und analysierten die aufgefangenen Daten. Das Projekt lief über drei Jahre.

Etwa die Hälfte der abgefangenen Daten seien unverschlüsselt übertragen worden, teilt das Team mit. Dazu gehörten Telefonate, Textnachrichten oder normaler Internet-Traffic über Mobilfunknetze, inklusive Hardware-Daten wie etwa der IMSI. Ebenfalls über Satelliten laufen Bord-WLANs von Flugzeugen, die sich entsprechend ebenfalls belauschen lassen. Viele Voice-Over-IP-Anbieter (VoIP) wickeln ihre Kommunikation über Satelliten ab und ermöglichen es, mitzuhören.

Besonders bedenklich sei, dass auch sicherheitsrelevante Kommunikation unverschlüsselt sei. So konnten die Forscher die Daten von Banken und anderen Finanzunternehmen abfangen, darunter Login-Daten, Mails und Daten von Geldautomaten. Auch Daten von Energieversorgern oder Infrastrukturen wie Pipelines werden unverschlüsselt über geostationäre Satelliten übertragen. Offizielle Stellen waren nicht ausgenommen: Das Team konnte die Kommunikation von Militär und Polizei aus den USA und Mexiko belauschen.

Die Kommunikation über Satelliten ist weiterhin unsicher: Für eine aktuelle Studie haben Forscher aus den USA die Daten abgehört, die über geostationäre Satelliten verbreitet werden. Ein großer Teil davon sei unverschlüsselt, das gelte auch für sicherheitsrelevante Kommunikation.

"Ein erschreckend großer Teil des Datenverkehrs wird unverschlüsselt übertragen", schreibt das Team der University of California in San Diego (UCSD) und der University of Maryland in College Park auf seiner Website. Darunter seien die Daten von kritischen Infrastrukturen, die interne Kommunikation von Unternehmen und Regierungsstellen sowie Telefonate, SMS oder Internet-Traffic aus Flugzeug-WLANs und Mobilfunknetzen gewesen.

Für die Studie installierte das Team um Wenyi Morty Zhang auf einem UCSD-Gebäude eine handelsübliche Satellitenschlüssel; die gesamte Ausrüstung kostete rund 800 US-Dollar. Die Schüssel richteten die Forscher jeweils auf einen der 39 von ihrem Standpunkt aus sichtbaren, geostationären Satelliten und analysierten die aufgefangenen Daten. Das Projekt lief über drei Jahre.

Etwa die Hälfte der abgefangenen Daten seien unverschlüsselt übertragen worden, teilt das Team mit. Dazu gehörten Telefonate, Textnachrichten oder normaler Internet-Traffic über Mobilfunknetze, inklusive Hardware-Daten wie etwa der IMSI. Ebenfalls über Satelliten laufen Bord-WLANs von Flugzeugen, die sich entsprechend ebenfalls belauschen lassen. Viele Voice-Over-IP-Anbieter (VoIP) wickeln ihre Kommunikation über Satelliten ab und ermöglichen es, mitzuhören.

Besonders bedenklich sei, dass auch sicherheitsrelevante Kommunikation unverschlüsselt sei. So konnten die Forscher die Daten von Banken und anderen Finanzunternehmen abfangen, darunter Login-Daten, Mails und Daten von Geldautomaten. Auch Daten von Energieversorgern oder Infrastrukturen wie Pipelines werden unverschlüsselt über geostationäre Satelliten übertragen. Offizielle Stellen waren nicht ausgenommen: Das Team konnte die Kommunikation von Militär und Polizei aus den USA und Mexiko belauschen.

Neben den "üblichen Verdächtigen" Microsoft und Adobe hat auch Fortinet pünktlich zum Patchday eine ganze Reihe von Updates für verschiedene Produkte veröffentlicht.

Die aktuellen Sicherheitshinweise erwähnen insgesamt 18 geschlossene Lücken. Zwei davon wurden mit dem Schweregrad "High" bewertet; sie betreffen FortiOS, FortiPAM sowie den FortiSwitch Manager. Hinzu kommen "Medium"- und "Low"-Lücken unter anderem in FortiAnalyzer, FortiProxy, FortiManager Cloud, FortiMail und FortiSRA.

Angesichts der Tatsache, dass IT-Sicherheitslösungen des Herstellers in der jüngeren Vergangenheit schon häufiger zum Ziel von kursierendem Exploit-Codes wurden, sollten Admins möglichst zügig handeln. Bis dato sind allerdings noch keine auf die aktuellen Lücken abzielenden Exploits bekannt.

Zur unbefugten Ausführung von Systembefehlen per Kommandozeile könnten lokale, authentifizierte Angreifer die Schwachstelle CVE-2025-58325 ("Restricted CLI command bypass"; CVSS-Score 7.8) missbrauchen. Sie betrifft FortiOS in der gesamten 6.4-er Versionsreihe, die Versionen 7.0.0 bis 7.0.15, 7.2.0 bis 7.2.10 und 7.4.0 bis 7.4.5 (jeweils inklusive der letztgenannten) sowie die Version 7.6.0. Ein Upgrade auf die jeweils nächsthöhere Version beziehungsweise ein Umstieg von 6.4 auf ein aktuelles, gefixtes Release schaffen Abhilfe.

Schwache Authentifizierungsmechanismen sind die Wurzel von CVE-2025-49201 (CVSS 7.4), einer Lücke, die laut Fortinet Brute-Force-Angriffe erleichtert. Der National Vulnerability Database (NVD) ist überdies zu entnehmen, dass mittels spezieller HTTP-Requests auch in diesem Falle die Möglichkeit besteht, schädlichen Code oder Befehle auszuführen. Verwundbar sind mehrere FortiPAM-Versionsreihen (außer 1.6 und 1.7) sowie FortiSwitch Manager 7.2.0 bis inklusive 7.2.4.

Neben den "üblichen Verdächtigen" Microsoft und Adobe hat auch Fortinet pünktlich zum Patchday eine ganze Reihe von Sicherheitshinweisen und Updates für verschiedene Produkte veröffentlicht.

Die aktuellen Sicherheitshinweise erwähnen zahlreiche geschlossene Lücken. Mit dem Schweregrad "High" bewertet wurden Schwachstellen in FortiOS, FortiPAM, FortiSwitch Manager, FortiDLP, Fortilsolator sowie im FortiClient Mac.

Hinzu kommen "Medium"- und "Low"-Lücken unter anderem in FortiAnalyzer, FortiProxy, FortiManager Cloud, FortiMail und FortiSRA.

Angesichts der Tatsache, dass IT-Sicherheitslösungen des Herstellers in der jüngeren Vergangenheit schon häufiger zum Ziel von kursierendem Exploit-Codes wurden, sollten Admins möglichst zügig handeln. Bis dato sind allerdings noch keine auf die aktuellen Lücken abzielenden Exploits bekannt.

Zur unbefugten Ausführung von Systembefehlen per Kommandozeile könnten lokale, authentifizierte Angreifer die Schwachstelle CVE-2025-58325 ("Restricted CLI command bypass"; CVSS-Score 7.8) missbrauchen. Sie betrifft FortiOS in der gesamten 6.4-er Versionsreihe, die Versionen 7.0.0 bis 7.0.15, 7.2.0 bis 7.2.10 und 7.4.0 bis 7.4.5 (jeweils inklusive der letztgenannten) sowie die Version 7.6.0. Ein Upgrade auf die jeweils nächsthöhere Version beziehungsweise ein Umstieg von 6.4 auf ein aktuelles, gefixtes Release schaffen Abhilfe.

In insgesamt zwölf Security-Bulletins hat Adobe aktuelle Sicherheitslücken nebst verfügbarer Updates aufgeschlüsselt. Von Lücken geplagt und nun gepatcht wurden Animate, Bridge, Connect, Commerce, Creative Cloud Desktop, Dimension, Experience Manager Screens, FrameMaker, Illustrator sowie Substance 3D Modeler, Stager und Viewer.

Je nach Produkt betreffen die Sicherheitsmängel jeweils mehrere Versionen für Windows, macOS oder auch alle verfügbaren Plattformen. Über kursierenden Exploit-Code oder gar Angriffe in freier Wildbahn ist laut Hersteller bislang nichts bekannt. Dennoch sollten Nutzer die Aktualisierungen, soweit sie nicht automatisch auf den Systemen landen, nicht auf die lange Bank schieben.

Unbefugte Codeausführung & mangelhafte Authentifizierung

Gleich fünf kritische Fixes erhielt Substance 3D Stager, gefolgt von Dimension mit vier schweren Lücken. "Critical"- und "Important"-Einstufungen tauchen aber auch in den meisten der übrigen Advisories auf. Einzige Ausnahme bildet Creative Cloud Desktop: Hier ist lediglich die macOS-Fassung von einer einzigen Lücke mit "Moderate"-Einstufung betroffen.

Wie gewohnt hält sich die Informationsfülle der verfügbaren Adobe-Advisories hinsichtlich Schwachstellen-Details in Grenzen. Auffällig ist allerdings, dass in vielen Fällen eine Ausführung beliebigen Codes im Kontext der Programme möglich ist ("arbitrary code execution"). In einigen Produkten können überdies Sicherheits- und Authenzifizierungsmechanismen umgangen werden. Adobe Connect, Commerce und Experience Manager Screens weisen jeweils mehrere Cross-Site-Scripring-Lücken auf.

In insgesamt zwölf Security-Bulletins hat Adobe aktuelle Sicherheitslücken nebst verfügbarer Updates aufgeschlüsselt. Von Lücken geplagt und nun gepatcht wurden Animate, Bridge, Connect, Commerce, Creative Cloud Desktop, Dimension, Experience Manager Screens, FrameMaker, Illustrator sowie Substance 3D Modeler, Stager und Viewer.

Je nach Produkt betreffen die Sicherheitsmängel jeweils mehrere Versionen für Windows, macOS oder auch alle verfügbaren Plattformen. Über kursierenden Exploit-Code oder gar Angriffe in freier Wildbahn ist laut Hersteller bislang nichts bekannt. Dennoch sollten Nutzer die Aktualisierungen, soweit sie nicht automatisch auf den Systemen landen, nicht auf die lange Bank schieben.

Unbefugte Codeausführung & mangelhafte Authentifizierung

Gleich fünf kritische Fixes erhielt Substance 3D Stager, gefolgt von Dimension mit vier schweren Lücken. "Critical"- und "Important"-Einstufungen tauchen aber auch in den meisten der übrigen Advisories auf. Einzige Ausnahme bildet Creative Cloud Desktop: Hier ist lediglich die macOS-Fassung von einer einzigen Lücke mit "Moderate"-Einstufung betroffen.

Wie gewohnt hält sich die Informationsfülle der verfügbaren Adobe-Advisories hinsichtlich Schwachstellen-Details in Grenzen. Auffällig ist allerdings, dass in vielen Fällen eine Ausführung beliebigen Codes im Kontext der Programme möglich ist ("arbitrary code execution"). In einigen Produkten können überdies Sicherheits- und Authenzifizierungsmechanismen umgangen werden. Adobe Connect, Commerce und Experience Manager Screens weisen jeweils mehrere Cross-Site-Scripring-Lücken auf.

Mit mehr als 170 geschlossenen Sicherheitslücken ist Microsofts Patchday diesen Monat überdurchschnittlich umfangreich ausgefallen. Gleich 17 Fixes für kritische Lücken stehen unter anderem für Azure, Copilot, Office sowie den Windows Server Update Service (WSUS) bereit. Überdies machen drei aktiv angegriffene Schwachstellen mit "Important"-Einstufung das (bestenfalls automatische) Einspielen der verfügbaren Updates besonders dringlich.

Aktive Exploits zielen laut Microsofts zugehörigen Advisories auf den Windows Remote Access Connection Manager (CVE-2025-59230, CVSS-Score 7.8) einen alten Agere-Modemtreiber (CVE-2025-24990, 7.8) sowie das Linux-basierte, auf Windows-Systemen nutzbare IGEL OS (CVE-2025-47827, 4.6).

Den Remote Access Connection Manager sichert ein Patch künftig gegen lokale Angreifer ab, die über die Lücke ihre Zugriffsrechte hätten ausweiten können. Der Agere-Treiber (ltmdm64.sys) wurde laut Sicherheitshinweis komplett entfernt – und mit ihm eine weitere Möglichkeit lokal zugreifender Bösewichte, schlimmstenfalls Admin-Rechte zu erlangen.

Der physischen Zugriff voraussetzende und deshalb auch lediglich mit "Medium" bewertete Angriffsweg über IGEL OS wurde durch ein zum Patchday mitgeliefertes Update des Linux-Betriebssystems versperrt. Die Exploit-Möglichkeit dürfte aber auch im Vorfeld eher wenige, speziell konfigurierte Systeme betroffen haben.

Folgende frisch gepatchte Lücken stuft Microsoft als kritisch ein:

Mit mehr als 170 geschlossenen Sicherheitslücken ist Microsofts Patchday diesen Monat überdurchschnittlich umfangreich ausgefallen. Gleich 17 Fixes für kritische Lücken stehen unter anderem für Azure, Copilot, Office sowie den Windows Server Update Service (WSUS) bereit. Überdies machen drei aktiv angegriffene Schwachstellen mit "Important"-Einstufung das (bestenfalls automatische) Einspielen der verfügbaren Updates besonders dringlich.

Aktive Exploits zielen laut Microsofts zugehörigen Advisories auf den Windows Remote Access Connection Manager (CVE-2025-59230, CVSS-Score 7.8) einen alten Agere-Modemtreiber (CVE-2025-24990, 7.8) sowie das Linux-basierte, auf Windows-Systemen nutzbare IGEL OS (CVE-2025-47827, 4.6).

Den Remote Access Connection Manager sichert ein Patch künftig gegen lokale Angreifer ab, die über die Lücke ihre Zugriffsrechte hätten ausweiten können. Der Agere-Treiber (ltmdm64.sys) wurde laut Sicherheitshinweis komplett entfernt – und mit ihm eine weitere Möglichkeit lokal zugreifender Bösewichte, schlimmstenfalls Admin-Rechte zu erlangen.

Der physischen Zugriff voraussetzende und deshalb auch lediglich mit "Medium" bewertete Angriffsweg über IGEL OS wurde durch ein zum Patchday mitgeliefertes Update des Linux-Betriebssystems versperrt. Die Exploit-Möglichkeit dürfte aber auch im Vorfeld eher wenige, speziell konfigurierte Systeme betroffen haben.

Folgende frisch gepatchte Lücken stuft Microsoft als kritisch ein: