Comretix Blog

Zum März-Patchday hat Microsoft Korrekturen für insgesamt 57 CVE-Schwachstelleneinträge veröffentlicht. Fünf davon betreffen als kritisch eingestufte Lücken in Windows-Systemen; von weiteren 33 Windows-Schwachstellen mit hohem Schweregrad werden sechs bereits ausgenutzt. Weitere betroffene Produkte sind unter anderem Office, Edge, Visual Studio und einige Azure-Komponenten.

Anzeige

Wie gewohnt bietet Microsoft in seinem Security Response Center eine nach Produkt und Schweregrad filterbare Liste an; in den Release Notes für den März-Patchday listet Microsoft zudem alle 57 CVEs auf.

Die fünf kritischen Windows-Lücken wurden demnach bislang noch nicht ausgenutzt. CVE-2025-24035 und CVE-2025-24045 adressieren das Risiko einer Remotecodeausführung über den Windows-Remotedesktopdienst; Microsoft schätzt das Risiko einer Ausnutzung hier als wahrscheinlich ein.

Als weniger wahrscheinlich gelten die Lücken CVE-2025-26645 (Lücke im Remotedesktop-Client), CVE-2025-24084 (Gefahr einer Remotecodeausführung durch das Windows Subsystem für Linux 2) und CVE-2025-24064 (Lücke im Domain Name Service). Immerhin

Die aktuelle Lage der kommunalen Cybersicherheit in Deutschland ist besorgniserregend. Das geht aus der Studie "Defizite, Anforderungen und Maßnahmen: Kommunale Cybersicherheit auf dem Prüfstand" von Dr. Tilmann Dittrich und Prof. Dennis-Kenji Kipker und IT-Sicherheitsanbieter NordPass hervor. Als Grund für die aktuelle Lage nennt Kipker "eine Mischung aus leichtfertiger Digitalisierung, fehlenden einheitlichen Standards in Deutschland zur Cybersicherheit, einem deutlich verzögerten Reagieren der Politik und damit des Gesetzgebers, insbesondere in den Bundesländern". Vielen Kommunen fehle es zudem an Geld und Personal, um die für die Cybersicherheit erforderlichen Maßnahmen umzusetzen.

Anzeige

Zwar bieten speziell die Datenschutz-Grundverordnung (DSGVO) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Rahmen und machen Vorgaben zu "Verfügbarkeit, Vertraulichkeit und Integrität von Daten und IT". Diese seien "jedoch im Anwendungsbereich vielfältig beschränkt und decken keineswegs die Gesamtheit kommunaler Cyberrisiken ab". Aktuell seien die organisatorischen Vorkehrungen der Kommunen unzureichend und würden "durch eine unübersichtliche Gemengelage aus landes-, bundesgesetzlichen und EU-rechtlichen Vorgaben bestärkt".

Die IT-Sicherheitsgesetze der Bundesländer sowie die geplanten Ausnahmen der NIS2-Regulierung der EU würden daran nichts ändern. Die Sicherheitsvorgaben des Onlinezugangsgesetzes betreffen zudem nur ausgewählte Verwaltungsleistungen. Eine einheitliche und übersichtliche Cybersicherheitsstrategie ist nicht vorhanden, resümieren die Autoren. Auf Länderebene haben Baden-Württemberg, Hessen, Sachsen, Saarland, Bayern, Niedersachsen und Rheinland-Pfalz Regelungen zur Cybersicherheit in Kommunen getroffen. Die Länder haben teilweise bereits Landes-CISO ernannt, die sich um die IT-Sicherheit kümmern.

Die Verantwortung für die Cybersicherheit liegt den Autoren zufolge bei der Leitungsebene der Kommunen, die geschult werden und IT-Sicherheitsstandards sowie ein darüber hinausgehendes Risikomanagement etablieren sollten. Zudem sollten die Kommunen einen CISO samt Expertenteam ernennen. Outsourcing auf IT-Dienstleister müsse außerdem nach klaren Vorgaben an die Cybersicherheit erfolgen. Zu guter Letzt empfehlen Kipker und Dittrich einen Notfallplan und regelmäßige Schulungen.

Nutzer der App von Eshyft, einem IT-Unternehmen aus New Jersey, sind von einem mehr als 100 GByte großen Datenleck betroffen. Auf einem falsch konfigurierten Cloud-Speicher von Amazon Web Services (AWS) waren demnach monatelang sensible Daten von mehr als 86.000 Pflegekräften und anderem medizinischem Personal aus 29 US-Bundesstaaten offen einsehbar. Der IT-Sicherheitsforscher Jeremiah Fowler von Cybernews hatte das Unternehmen auf die Sicherheitslücke aufmerksam gemacht.

Anzeige

Fowler hatte die offene Datenbank laut seinem Bericht am 4. Januar entdeckt und sie zwei Tage später an Eshyft gemeldet. Obwohl das Unternehmen daraufhin Maßnahmen ankündigte, blieb der Speicher mit Informationen des Unternehmens noch über einen Monat lang öffentlich zugänglich. Erst am 5. März wurde die Lücke geschlossen.

Die App ermöglicht die kurzfristige Besetzung von offenen Schichten in Krankenhäusern und anderen Langzeitpflegeeinrichtungen mit zertifizierten Pflegekräften und Krankenschwestern. Mehr als 50.000 Mal wurde sie aus dem Google Play Store heruntergeladen und ist auch im Apple App Store verfügbar.

Vom Sicherheitsforscher geschwärzte Ausweisdokumente, die monatelang öffentlich zugänglich waren.

In der aktuellen Folge von "Passwort" arbeiten die Hosts eine Reihe von Security-Nachrichten aus den vergangenen Wochen auf. Los geht es mit einer Kritik an "ACME-HTTP-01", also einem Teil des Protokolls zur automatisierten Bereitstellung von Web-Zertifikaten – dem Lieblingsthema des Podcasts. ACME-HTTP-01 weißt eine Lücke auf, die altbekannt, potenziell folgenschwer und doch nicht behoben ist. Christopher und Sylvester diskutieren, was es damit auf sich hat, wie relevant das Problem in der Praxis ist und wie man es lösen könnte.

Anzeige

Für Nutzer von iPhone, iPad, Mac, Vision Pro und Apple TV warten in der Softwareaktualisierung in den Systemeinstellungen wichtige Updates: Apple hat am späten Dienstagabend Aktualisierungen vorgelegt. Es handelt sich nicht um Funktionsupdates, sondern um Fehlerbehebungen – samt mindestens einer schweren Sicherheitslücke.

Anzeige

iOS 18.3.2 und iPadOS 18.3.2 enthalten laut Apple "wichtige Fehlerbehebungen und Sicherheitsupdates" und sollen ein Problem beheben, das die Wiedergabe "bestimmter Streaminginhalte" verhindert hatte – nähere Angaben dazu, welche genau und wann, machte Apple nicht. Weiterhin wurde eine Sicherheitslücke in der Browser-Engine WebKit behoben, die unter anderem von Safari verwendet wird, aber auch in anderen iOS- und iPadOS-Browsern steckt.

Es handelt sich um einen Out-of-bounds-Fehler mit der CVE-ID 2025-24201, den Apple laut eigenen Angaben selbst entdeckt hat. Er erlaubte es böswilligen Angreifern, über eine manipulierte Website aus der Web-Content-Sandbox auszubrechen. Es handelt sich demnach um einen "Zusatzfix" für ein Problem, der bereits in iOS 17.2 vom vorletzten Jahr behoben wurde. Für dieses gab es Apple vorliegende Berichte über Angriffe durch staatliche allimentierte Hacker, die es auf "specific[ally] targeted individuals" abgesehen hatten, offenbar aus dem politischen Bereich. Wieso Apple die Lücke jetzt erst schließt, bleibt unklar.

macOS 15.3.2 enthält wiederum nicht näher ausgeführte Fehlerbehebungen plus den Fix für den WebKit-Bug. macOS Ventura (13) und Sonoma (14) erhalten dafür ein einfaches Safari-Update auf Version 18.3.1.

Für die Ausfälle des Kurznachrichtendiensts X am Montag waren DDoS-Angriffe eines Botnets verantwortlich, das sich aus Kameras und Videorekordern zusammensetzt. So beschreibt es unter anderem der unabhängige Sicherheitsforscher Kevin Beaumont gegenüber dem US-Magazin Wired. Dass die keineswegs innovativen Attacken überhaupt so erfolgreich waren, liegt ihm zufolge an unzureichenden Sicherheitsvorkehrungen von X. Einige der Server des Diensts, die auf Anfragen aus dem Internet antworten und damit für DDoS-Angriffe anfällig sind, seien nicht von dem DDoS-Schutz abgedeckt gewesen, den X bei Cloudflare gebucht hat. Die Endpunkte konnten also direkt angegriffen werden. Inzwischen sei das behoben.

Anzeige

X war am Montag infolge der Attacken mehrfach offline gegangen und für die Nutzer und Nutzerinnen nicht erreichbar. Insgesamt haben externe Experten laut Wired fünf verschiedene Angriffswellen beobachtet. Die beobachteten Fehler fielen dabei unterschiedlich aus, teilweise kam überhaupt keine Verbindung mit dem Server zustande, teilweise konnte die Seite von X zumindest geladen werden, es fehlten aber die Inhalte. X-Chef Elon Musk hat von einer massiven Cyberattacke gesprochen, bei der die eingesetzten Ressourcen auf eine große Gruppe oder ein Land deuten würde. Dem widersprechen die Erkenntnisse der externen Beobachter jetzt. Ausschlaggebend für die Tragweite waren demnach mangelnde Vorkehrungen.

Musk hat außerdem behauptet, dass IP-Adressen "aus dem Gebiet der Ukraine" für die Attacke verantwortlich seien. Während die bei einer DDoS-Attacke beobachteten IP-Adressen aber höchstens einen Hinweis darauf geben können, wo die kompromittierten Geräte stehen, die massenhaft auf die angegriffene Seite zuzugreifen, lässt sich darüber nicht auf die Verantwortlichen schließen. Im konkreten Fall gibt es aber sogar Zweifel, dass ukrainische IP-Adressen überhaupt in nennenswerter Menge aufgetaucht sind. Eine anonyme Quelle hat Wired versichert, dass von den 20 aktivsten IP-Adressen der Attacke keine aus der Ukraine stammt.

Ein Experte von Nokia hat auf Mastodon ergänzt, dass die genutzten IP-Adressen aus der ganzen Welt kommen – so wie man es von Botnetzen kenne. Passen würde die Verteilung demnach zu einem ganz jungen namens Eleven11bot. Das wurde laut Jérôme Meyer erst vor wenigen Tagen zum ersten Mal beobachtet und bestehe hauptsächlich aus kompromittierten Webcams und Videorekordern. Innerhalb kürzester Zeit sei es auf mehr als 30.000 Geräte angewachsen und gehöre damit zu den größten, die in jüngerer Vergangenheit aufgetaucht sind. In der kurzen Zeit steckte es demnach bereits hinter Angriffen auf ganz unterschiedliche Sektoren.

Als US-amerikanische Programmierer Davis L. seine Kündigung fürchtete, pflanzte er Schadroutinen in die IT-Systeme seines Arbeitgebers ein. Der Schadcode sollte aktiv werden, sobald sein Nutzerkonto im Active Directory stillgelegt wurde. Es kam, wie befürchtet. Jetzt wurde L. verurteilt.

Anzeige

Geschworene des US-Bundesbezirksgerichts für das Nördliche Ohio haben L. der vorsätzlichen Beschädigung geschützter Computer für schuldig befunden. Darauf stehen bis zu zehn Jahre Haft. Das konkrete Strafmaß wird der vorsitzende Richter zu einem späteren Zeitpunkt festlegen. Der Angeklagte ist zum Sachverhalt grundsätzlich geständig, erachtet sich allerdings als nicht schuldig im Sinne der Anklage. Er hat Rechtsmittel gegen den Schuldspruch angekündigt.

L. arbeitete seit November 2007 für einen internationalen Konzern mit Sitz in Ohio und Irland, der auch in Deutschland Tochterunternehmen hat. 2018 wurde der Mann im Zuge einer Umstrukturierung degradiert. Daraufhin begann er mit der Sabotage des Arbeitgebers.

Laut Anklage (1:21-cr-00226) installierte er endlose Programmschleifen, die Java Virtual Machines unbenutzbar machten und Anwendern den Zugriff auf Server verunmöglichten. Zudem soll er Profildateien von Kollegen gelöscht haben.

Die billigen WLAN- und Bluetooth-Chips des Herstellers Espressif, ESP32, enthalten in aktuellen Firmware-Versionen undokumentierte Befehle in der Bluetooth-Hardware-Kommunikation. Dies reißt eine Sicherheitslücke auf, durch die Angreifer sich einnisten können, sagen die Entdecker der Lücke. Die ist jedoch nicht so gravierend, wie sie zunächst den Anschein erweckt – obwohl Milliarden von ESP32-ICs bereits in freier Wildbahn ihren Dienst verrichten, etwa in smarten Steckdosen, Heizungsregler und ähnlichen praktischen Geräten.

Anzeige

Die Schwachstellenbeschreibung lautet konkret: Espressif ESP32-ICs enthalten 29 versteckte Bluetooth-HCl-Befehle, etwa "0xFC02" – "Schreibe Speicher" (CVE-2025-27840, CVSS 6.8, Risiko "mittel"). Durch die undokumentierten Befehle können Angreifer Speicher und sogar am Ende Flash manipulieren und so die komplette Kontrolle übernehmen.

Das Bluetooth Host-Controller-Interface (HCI) definiert die Kommunikation zwischen Bluetooth-IC und Host-System, wie der Name bereits andeutet. Es ist also nicht direkt Over-the-air, etwa über Bluetooth-Funk, erreichbar. Es handelt sich um Kommunikation, die klassischerweise über UART- oder SPI-Protokolle zwischen Host-System und Bluetooth-Controller läuft.

Die Entdecker haben den Fund auf der spanischen IT-Sicherheitskonferenz rootedcon vorgestellt. Sie erklärten dort, dass sich mit diesen Befehlen unter anderem MAC-Adressen spoofen lassen, sodass sich Geräte als andere Bluetooth-Gegenstellen ausgeben und so etwa mit Smartphones verbinden können. Unbefugter Zugriff auf Daten sei so denkbar. Durch die möglichen Schreibzugriffe ist zudem ein dauerhaftes Einnisten denkbar. Allerdings gelingt dies alles nur dann, wenn zuvor bereits Zugriff auf ein Gerät mit verwundbarem ESP32-IC möglich ist: Etwa, wenn Zugang mit Root-Rechten erfolgte, damit Malware installiert oder eine bösartig modifizierte Firmware aufgespielt wurde. Damit sind aber bereits diese und weiterreichende bösartige Aktionen möglich.

Eine Recherche bringt Neues im Fall Bybit ans Licht: Der größte Diebstahl der Geschichte wurde möglich, weil das Unternehmen sich auf eine unsichere Freeware verließ. "Safe" heißt die betroffene Anwendung, die sonst für Krypto-Transaktionen im Amateurbereich dient. Bybit nutzte sie, um Kryptowährung im Wert von 1,5 Milliarden US-Dollar zu verschieben. Wie riskant das ist, war den Verantwortlichen offenbar bewusst.

Anzeige

Die New York Times berichtet jetzt neue Einzelheiten zu dem Fall vom 21. Februar, bei dem es Cyberkriminellen gelang, eine riesige Summe der Kryptowährung Ethereum (Ether) abzuschöpfen. Die Kryptobörse Bybit wollte das Ether routinemäßig von einem seiner Speicherwallets ins andere transferieren, doch die Kriminellen griffen alles ab. Das FBI beschuldigt eine Gruppe aus Nordkorea der Tat.

Bybit-CEO Ben Zhou genehmigte die Transaktion vorher eigenhändig und gab den Angreifern damit unbewusst die Kontrolle über das Ether. "Safe" war dabei laut der New York Times die entscheidende Schwachstelle. Die weit verbreitete Freeware für Krypto-Wallets ist von jedermann nutzbar und beliebt bei Amateur-Tradern. Das hielt Bybit laut der Times nicht ab, damit Milliardenwerte hin und her zu schieben. Den Cyberkriminellen gelang es demnach, Safe so zu manipulieren, dass sie das transferierte Ether an sich reißen konnten.

Besonders ärgerlich für Bybit: Es gibt laut Experten längst bessere Systeme, die auch auf Anwender mit Großtransaktionen spezialisiert sind. Die bestohlene Kryptobörse verließ sich stattdessen jahrelang weiter auf "Safe". Viele Sicherheitsexperten glauben deshalb, der Vorfall wäre vermeidbar gewesen. "Im Jahr 2025 ist so etwas völlig inakzeptabel", sagte Charles Guillemet von der Krypto-Sicherheitsberatung Ledger der New York Times dazu. Solche Zustände müssten sich dringend ändern.

Google und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben eine strategische Kooperationsvereinbarung geschlossen mit dem Ziel, den Aufbau "sicherer und souveräner Cloud-Lösungen für Behörden auf Bundes-, Landes- und Kommunalebene" zu fördern. Dies teilten der Internetriese und die Behörde am Donnerstag mit. Einen besonderen Schwerpunkt wollen beide Seiten demnach auf die "Gewährleistung der Datensouveränität" legen. Die entwickelten Lösungen sollen "speziell auf die Anforderungen des öffentlichen Sektors" zugeschnitten sein, die "deutschen und europäischen Datenschutzbestimmungen" erfüllen sowie höchste Standards auch bei IT-Sicherheit bieten.

Anzeige

Die Kooperation umfasst laut Google das gesamte Cloud-Portfolio des US-Konzerns, einschließlich KI-Anwendungen wie den Chatbot Gemini und zugehörige Support-Dienste. Ein neu eingerichtetes Kooperationsforum bilde das Herzstück der Zusammenarbeit. Dieses Gremium leiten demnach der neue BSI-Vizepräsident Thomas Caspers und Wieland Holfelder, Vizepräsident Google Cloud Deutschland. Das Forum diene als zentrale Koordinierungsstelle und direkter Ansprechpartner für alle Belange der Zusammenarbeit. Es soll wichtige Aspekte behandeln wie die systematische Sicherheitsüberwachung mit schneller Reaktion auf potenzielle Sicherheitsvorfälle sowie die gemeinsame Entwicklung technischer Standards und Zertifizierungen.

Die Partner wollen auch gemeinsam am Voranbringen von Post-Quanten-Kryptografie und dem Einsatz elliptischer Kurven für die Verschlüsselung arbeiten. Diese Technologien seien entscheidend für die langfristige Sicherheit sensibler Daten, heißt es bei Google. Dies gelte gerade mit Blick "auf die Herausforderungen durch künftige Quantencomputer". Die Übereinkunft umfasse auch "die regelmäßige Überprüfung auf Sicherheitslücken und die Bereitstellung wichtiger Sicherheitsdokumentationen". Google verpflichte sich, das BSI "proaktiv über sicherheitsrelevante Entwicklungen zu informieren, insbesondere bei Vorfällen von besonderem öffentlichen Interesse".

Alle großen US-Hyperscaler werben bereits mit "souveränen" Cloud-Lösungen zusammen mit deutschen Partnern. Google kündigte 2021 den Aufbau einer solchen Lösung für hiesige Unternehmen und Behörden zusammen mit T-Systems an. Amazon will mit der AWS European Sovereign Cloud punkten, die aus mindestens drei Rechenzentren in einer eigenen Region an geheimen Orten in Brandenburg bestehen soll. Microsoft kooperiert für die Delos-Cloud mit SAP und Arvato. Kritiker monieren, dass sich die Vereinigten Staaten mit dem Cloud Act aber weiter den Zugriff auf Daten in der Cloud weltweit sicherten, solange US-Firmen irgendwie involviert seien.

Hersteller und Verkäufer vernetzter Geräte klären Kunden unzureichend über Aspekte der IT-Sicherheit auf, obwohl diese bei solchen Produkten eine wichtige Rolle spielen und entsprechende Angaben teils gesetzlich vorgeschrieben sind. Das geht aus einem exemplarischen Marktcheck hervor, den das ConPolicy-Institut für Verbraucherpolitik im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) durchgeführt hat. Informationen zur IT-Security waren demnach "durchgängig nur lückenhaft verfügbar", kritisieren die Forscher. Die wenigsten Hinweise seien im stationären Handel und auf Produktverpackungen zu finden, etwas mehr in Online-Shops und auf Hersteller-Webseiten.

Anzeige

In Geschäften vor Ort würden oft "nur Preisangaben und wenige technische Details angeboten", heißt es in dem am Freitag veröffentlichten Ergebnisbericht. Auch im Online-Handel würden Interessenten "viele wichtige Informationen" vorenthalten. Generell seien Informationen etwa zur Verschlüsselung oder zum Schutz gegen unbefugten Zugriff zudem oft schwer zu finden und schwer verständlich. Sie würden häufig mit anderen technischen Angaben vermischt und nur in Form von Abkürzungen ohne weitere Erklärungen dargestellt. Der Bezug zur IT-Security sei daher für technisch nicht versierte Personen nicht erkennbar.

In den Test bezogen die Experten Breitbandrouter und Überwachungskameras ein. Sie untersuchten exemplarisch die Webseiten von Herstellern und E-Commerce-Angebote, stationäre Händler sowie Produktverpackungen daraufhin, inwieweit sie relevante IT-Sicherheitsinformationen für die Kaufsituation bereitstellten.

Mit Blick auf die rechtlichen Anforderungen verweisen die Forscher etwa auf das Bürgerliche Gesetzbuch (BGB), in dem eine allgemeine Informationspflicht zu "wesentlichen Produkteigenschaften" verankert sei. Auch die Dauer von Sicherheitsupdates müsse angegeben werden. Das Wettbewerbsrecht (UWG) verbiete Irreführung, zudem seien unbelegte IT-Sicherheitsversprechen damit unzulässig. Mit dem Cyber Resilience Act, der ab 2027 verpflichtend ist, dürften vernetzte Geräte nur noch in Verkehr gebracht werden, wenn sie grundlegende Anforderungen an IT-Sicherheit erfüllen. Nach Prüfung der Konformität müssen die Produkte mit dem CE-Kennzeichen versehen werden. Einfache, verständliche Informationen und Gebrauchsanleitungen sind verfügbar zu machen.

Sicherheitsforscher von S-RM sensibilisieren Netzwerkadmins, über welchen Schlenker Angreifer in eigentlich geschützte Netzwerke eindringen können. In ihrem aktuellen Beispiel verschaffte sich die Ransomware Akira nach einem Fehlschlag dennoch Zugang zu Computern und verschlüsselte Daten.

Anzeige

In einem Bericht führen sie aus, wie die Angreifer dabei vorgegangen sind. Anfangs seien die Cyberkriminellen nach gewohntem Schema vorgegangen und sie haben sich über einen nach außen sichtbaren Fernzugriffsport Netzwerkzugriff verschafft.

Im Anschluss sollen sie sich über das Remote Desktop Protocol (RDP) auf einen Server ausgebreitet haben. Vor dort wollten sie ihren Erpressungstrojaner von der Leine lassen, doch die Endpoint-Detection-and-Response-Lösung (EDR) schlug zu und schickte den Schädling, bevor er ausgeführt werden konnte, in Quarantäne. Die Attacke war erfolgreich vereitelt.

Bevor die Kriminellen ihren Trojaner scharfschalten wollten, scannten sie das Netzwerk und entdeckten eine Webcam. Weil die Software des Gerätes den Forschern zufolge mehrere kritische Sicherheitslücken aufwies und es nicht durch die EDR-Software überwacht wurde, starteten sie darüber einen weiteren Angriffsversuch.

Die beiden Software-Plattformen GitHub und GitLab haben neue Sicherheitsfunktionen und -pakete vorgesellt: GitHub Secret Protection, GitHub Code Security und GitLab Open Source Security Hub.

Anzeige

Immer wieder kommt es zu Sicherheitsvorfällen bei den Verzeichnisdiensten, sodass diese stetig ihre Sicherheitsvorkehrungen verstärken. Für GitHub-Profis sind Secret Protection und Code Security im Prinzip nichts Neues, denn zusammen bilden beide Bausteine die altbekannte Sicherheits-Suite GitHub Advanced Security (GHAS) ab. Deren Verfügbarkeit wird nun aber neu geregelt.

Das mit monatlich 49 US-Dollar abgerechnete GHAS stand bislang nur bei GitHub Enterprise oder den Microsoft Azure DevOps-Tarifen zur Auswahl. Um GHAS für Teams aller Größen besser zugänglich zu machen, verteilt GitHub die Funktionen auf die Einzelpakete Secret Protection (monatlich 19 US-Dollar) und Code Security (monatlich 30 US-Dollar). Wer beide braucht, zahlt nicht mehr als bisher. Die neuen Bausteine lassen sich ab dem 1. April 2025 unabhängig voneinander buchen und stehen erstmals auch für GitHub Team zur Verfügung.

GitHub Secret Protection hilft dabei, das Durchsickern von Geheimnissen wie Passwörtern oder API-Schlüsseln zu verhindern, und setzt dazu unter anderem eine KI-gestützte Erkennung, anpassbare Scan-Muster und eine Benachrichtigungsfunktion ein. Mit künstlicher Intelligenz bewaffnet, macht sich auch Code Security ans Werk. Dieses Paket setzt auf Copilot Autofix, um Sicherheitslücken im Programmcode sowie in Pull-Requests aufzuspüren und zu beheben.

Admins von VMware-ESXi-Servern sollten dringend sicherstellen, dass sie eine aktuelle, gegen derzeit laufende Attacken abgesicherte Version installiert haben. Dabei setzten Angreifer an einer "kritischen" Sicherheitslücke an, um Systeme mit Schadcode zu kompromittieren.

Anzeige

Die Schwachstelle (CVE-2025-22224) und deren Ausnutzung sind seit einigen Tagen bekannt. Seitdem sind auch Sicherheitspatches verfügbar. Wie Sicherheitsforscher von Shadowserver nun in Scans zeigen, haben weltweit aber viele Admins offensichtlich bis jetzt nicht reagiert und die Installation der Updates steht noch aus. Zum Zeitpunkt dieser Meldung sind weltweit noch mehr als 41.000 Instanzen verwundbar. Davon sind knapp 2800 Server in Deutschland.

Verfügen Angreifer in einer virtuellen Maschine über Admin-Rechte, können sie aus der VM ausbrechen, um Schadcode im VMX-Prozess des Hostsystems auszuführen. Derzeit gibt es keine Informationen, wer hinter den Attacken steckt und welche Ziele betroffen sind.

In einer Warnmeldung geben die Entwickler von Broadcom an, dass die ESXi-Versionen ESXi70U3s-24585291, ESXi80U2d-24585300 und ESXi80U3d-24585383 gegen die Angriffe gerüstet sind. Darin wurden zudem zwei weitere Lücken geschlossen (CVE-2025-22225 "hoch", CVE-2025-222226 "hoch").