Comretix Blog

"23andme hat dabei versagt, grundlegende Maßnahmen zum Schutz personenbezogener Daten zu setzen", zeiht John Edwards, Chef der britischen Datenschutzbehörde, das US-Unternehmen für Genanalysen, "Ihre Sicherheitssysteme waren inadäquat, die Warnsignale waren da und die Firma hat langsam reagiert." Das Ergebnis ist bekannt: Fast sieben Millionen Datensätze von Kunden 23andmes gelangten 2023 in falsche Hände und im Darknet zum Verkauf. Edwards Behörde verhängt nun eine Strafe von umgerechnet gut 2,7 Millionen Euro über die Genfirma.

Die der Strafe zugrundeliegende Untersuchung war gemeinsame Arbeit der britischen und der kanadischen Bundesdatenschutzbehörde. Letztere darf, sehr zum anhaltenden Ärger ihres Chefs Philippe Dufresne, keine Strafen verhängen, sondern muss sich auf die Feststellung beschränken, dass 23andme kanadisches Datenschutzrecht verletzt hat. Von der illegalen Offenlegung dürften etwa 320.000 Kanadier und rund 150.000 Briten betroffen sein.

Die Methode des Angreifers war banal: Credential Stuffing. Dabei werden Logins und Passwörter, die bei Einbrüchen in andere Dienste offengelegt worden sind, ausprobiert. Hat der User die gleiche Kombination eingesetzt, und gibt es keine Multifaktor-Authentifizierung, kann sich der Angreifer einloggen. Das ist bei 23andme im Jahr 2023 bei über 18.000 Konten gelungen. Viele 23andme-Kunden haben in ihren Konten die Option aktiviert, ihre Daten mit Verwandten zu teilen. Daher konnte der Angreifer über gut 18.000 Konten die Daten von fast sieben Millionen Menschen abgreifen.

Fünf Monate lang, ab Ende April 2023, konnte der Täter ungestört ein Passwort nach dem anderen ausprobieren. Denn, so die kanadische und die britische Behörde, 23andme hatte ineffektive Erkennungssysteme sowie unzulängliches Logging und Monitoring. Zudem sei die Untersuchung von Anomalien inadäquat gewesen, sonst hätte 23andme die Vorgänge Monate früher als erst im Oktober 2023 erkannt.

Hinzu kommt unzureichende Vorbeugung. Die beiden Behörden kritisieren, dass 23andme keine verpflichtende Multifaktor-Authentifizierung (MFA) hatte, dass es nicht überprüft hat, ob Kunden anderswo kompromittierte Passwörter wiederverwenden, dass es keine zusätzliche Überprüfung bei der Anforderung der Gen-Rohdaten gab, und dass die Passwortregeln zu lasch waren: 23andme schrieb mindestens achtstellige Passwörter mit "minimalen Komplexitätsregeln" vor; eine Richtlinie der britischen Datenschutzbehörde ICO (Information Commissioner's Office) empfiehlt mindestens zehnstellige Passwörter ohne Zwang der Verwendung von Sonderzeichen und ohne Längenbeschränkung.

Im Kampf gegen die internationale Wirtschaftskriminalität im Internet und betrügerische Plattformen haben baden-württembergische Behörden fast 800 illegale Websites beschlagnahmt. Das Cybercrime-Zentrum bei der Generalstaatsanwaltschaft Karlsruhe und das Landeskriminalamt (LKA) Baden-Württemberg arbeiteten dafür mit der europäischen Polizeibehörde Europol und bulgarischen Strafverfolgungsbehörden zusammen.

"Die beschlagnahmten Domains wurden auf eine vom Landeskriminalamt Baden-Württemberg gehostete Beschlagnahmeseite umgeleitet und können nun nicht mehr zur Begehung von Straftaten genutzt werden", hieß es weiter. "Durch die Maßnahmen wurden die kriminellen Akteure erheblich geschwächt, indem ihre technische Infrastruktur gezielt außer Kraft gesetzt wurde." Allein seit der Umleitung in den vergangenen zwei Wochen stellten Strafverfolger den Angaben nach rund 616.000 Zugriffe auf die übernommenen Seiten fest.

Es geht dabei um eine relativ neue Betrugsmasche namens "Cybertrading Fraud". Die Kriminellen machen gutgläubigen Opfern Hoffnung, per Mausklick vor allem im Bereich Kryptowährungen große Gewinne zu erzielen. Im Internet bewerben sie ihre Angebote laut dem Sicherheitsbericht des Innenministeriums auf seriös wirkenden Seiten. In der Regel sei eine einfache Registrierung erforderlich.

Dann meldeten sich vermeintliche Brokerinnen und Broker telefonisch, um eine erste Investition von meist 250 Euro zu fordern. Diese sei scheinbar sofort erfolgreich. Gelegentlich gebe es sogar kleinere Auszahlungen. "Diese Erfolge sowie das geschickte und intensive Einwirken der vermeintlichen Brokerin oder des vermeintlichen Brokers verleiten dazu, mehr Geld zu investieren", schreiben die Fachleute. Die Kriminellen übten oft massiven Druck aus. Doch sobald die Menschen ihre angeblichen Gewinne ausgezahlt haben wollten, seien Internetseite und Ansprechpersonen häufig nicht mehr erreichbar.

Laut dem Sicherheitsbericht 2024 registrierten die Behörden einen Anstieg auf 1036 Fälle. Mehr als doppelt so viele Taten seien zudem aus dem Ausland begangen worden. "Erklärungen hierfür sind die hohe Reichweite der Internetplattformen, die Hoffnung vieler Geschädigter, per Mausklick eine große Rendite zu erwirtschaften und deren Gutgläubigkeit", heißt es.

Die Diskussionskultur im Internet hat sich in den letzten 25 Jahren verändert, nicht immer zum Guten. Kai-Uwe Lassowski, zuständig für das heise-Forum, das es seit über 25 Jahren gibt, beobachtet, dass das Internet "immer mehr zu einem Abbild der Gesellschaft wurde und dementsprechend auch ähnliche Probleme mit sich gebracht hat". War es früher ein "kleiner Haufen Nerds, die da sich freundlich und interessiert ausgetauscht haben", ist es heute eine "viel, viel breitere Masse", die "ein anderes Empfinden hat an die Standards, die da herrschen sollten".

Um einen freundlichen Umgangston zu gewährleisten, gibt es Nutzungsbedingungen, die Beleidigungen, diskriminierende Äußerungen oder Aufrufe zu Straftaten verbieten. Beiträge, die dagegen verstoßen, können gemeldet und gesperrt werden. Kai-Uwe Lassowski erklärt, dass im heise-Forum nur "zwei, drei Prozent aller Beiträge" gesperrt werden. Die Moderation erfolgt anlassbezogen durch User-Meldungen oder durch ein System mit Schlagwörtern. Dabei muss der Kontext genau geprüft werden, denn manche Begriffe wie "Goldstück" sind, obwohl auf den ersten Blick harmlos, im Kontext von Diskussionen über Flüchtlinge eine "rassistische Bezeichnung".

Jutta Brennauer von den Neuen Deutschen Medienmacher*innen sieht einen Zusammenhang zwischen Hass im Netz und rechtsextremer Gewalt im analogen Raum. Zahlen des BKA belegen, dass die "große Mehrheit von digitaler Gewalt aus dem rechtsextremen Spektrum stammt". Hasspostings verzeichneten 2024 einen Anstieg von 34 %. Die Studie "Lauter Hass, leiser Rückzug" zeigt, dass fast jede zweite Person online beleidigt wurde und ein Viertel mit körperlicher Gewalt bedroht wurde. Jutta Brennauer betont: "Hass im Netz kann zwar alle treffen, aber er trifft nicht alle gleich." Besonders betroffen sind "junge Frauen, Menschen mit Rassismuserfahrung, queere Menschen, Menschen mit sichtbarem Migrationshintergrund".

Digitale Gewalt hat ernste Folgen, die oft unterschätzt werden. "Nur weil er online erlebt wird, auf sozialen Medien zum Beispiel, hat er aber auch Auswirkungen auf die Offline-Welt", erklärt Brennauer. Betroffene leiden unter "körperlichen, psychischen Folgen, aber auch beruflichen Folgen", wie Depressionen oder Schlafstörungen. Journalist*innen ziehen sich aufgrund dieser Erfahrungen aus ihrem Beruf zurück. Die Verharmlosung digitaler Gewalt wird der Schwere des Themas nicht gerecht.

Die gemeinnützige, internationale Organisation "Save the Children" hat einen kostenfreien Leitfaden für öffentliche Einrichtungen wie Schulen, Kindergärten oder auch Vereine herausgegeben, um stärker dafür zu sensibilisieren, wie Pädokriminelle im Internet veröffentlichte Fotos und Videos von Kindern für ihre Zwecke missbrauchen. Er klärt darüber auf, wie Einrichtungen ihre eigene Medienarbeit so verändern können, dass Kinder und Jugendliche im Netz besser geschützt werden. Dafür enthält er auch konkrete Beispiele, wie Pädokriminelle vorgehen, welches Material sie gerne suchen, kommentieren und weiterverarbeiten. Jugendschutz.net ist als Kooperationspartner am Leitfaden beteiligt.

Abwehrende Sätze, wie diese, hat vermutlich schon jeder Mensch einmal gehört, der die Veröffentlichung von einem Kinderfoto im Netz beispielsweise im Bekanntenkreis kritisiert hat: "Das ist doch nur ein schönes Foto!"; "Das macht gute Laune!", "Das ist doch total harmlos!". Genau hier setzt der Leitfaden von Save the Children an. Was für die einen völlig harmlos erscheint, sogar als geteilte Freude gilt, ist für die anderen neues Material für ihre Missbrauchsfantasien.

Wie Save the Children klarmacht, werden sogenannte Alltagsaufnahmen von Kindern und Jugendlichen gezielt aus sozialen Netzwerken und von Webseiten gestohlen und in speziellen Internetforen von Pädokriminellen hochgeladen. Dort werden sie "milliardenfach aufgerufen, getauscht und kommentiert. Das geschieht etwa mit sexualisierenden Texten, sexuellen Lauten oder bestimmten Hashtags und Emojis." In Zeiten von leicht zugänglichen KI-Tools gehen Pädokriminelle aber auch noch einen Schritt weiter. Sie können mittels KI-Tools existierende Aufnahmen täuschend echt verändern. Mit Deepnude-Generatoren oder auch Nudifiern können dadurch auch Bilder von bekleideten Kindern mit wenigen Klicks zu Nacktaufnahmen werden.

Jasmin Wahl, Leiterin des Bereichs Sexualisierte Gewalt bei jugendschutz.net, erklärt hierzu: "Die Sexualisierung von Aufnahmen, die Kinder und Jugendliche in alltäglichen Situationen zeigen, ist ein Phänomen, welches wir seit Jahren bei der Bearbeitung von Hinweisen und Recherchen beobachten – in zum Teil drastischen Ausprägungen. Neue technologische Entwicklungen, die eine Manipulation von Bildern und Videos ermöglichen, verstärken das Problem. Das Bewusstsein für Risiken auch in Institutionen und Organisationen zu schärfen, ist deshalb von großer Relevanz". Jugendschutz.net ist das gemeinsame Kompetenzzentrum von Bund, Ländern und Landesmedienanstalten für den Schutz von Kindern und Jugendlichen im Internet, das unter anderem in seinem jüngsten Jahresbericht schon auf die Deep-Nude-Problematik aufmerksam machte.

Normalweise wurden in den vergangenen Jahren insbesondere Eltern immer wieder auf die Gefahren von Kinderfotos im Internet hingewiesen. Britt Kalla, Expertin für institutionellen Kinderschutz bei Save the Children Deutschland und Autorin des Leitfadens, unterstreicht allerdings, dass Pädokriminelle überall dort nach Material suchen, wo es zur Verfügung gestellt wird. Da mittlerweile auch Kindergärten, Schulen, Horte, Sport- und Musikvereine und andere Organisationen über Internetauftritte oder Social-Media-Profile verfügen und dort gerne auch werbliche Fotos hochladen, richtet sich der Leitfaden (PDF) nun an diese Einrichtungen – er soll eine publizistische Lücke schließen. "Wir möchten Verantwortlichen in Institutionen und Organisationen Wissen an die Hand geben, um informiert zu entscheiden, welche Bilder sie teilen und welche besser nicht. Dabei schauen wir auch kritisch auf unsere eigenen Veröffentlichungen – immer mit dem Ziel, Kinder und ihre Rechte bestmöglich zu schützen."

Eine Sicherheitslücke klafft in diversen Betriebssystemen von Apple – und Angreifer nutzen die bereits in freier Wildbahn aus. Der Hersteller stellt aktualisierte Betriebssystemversionen bereit, die die Schwachstelle ausbessert. Nutzerinnen und Nutzer sollten sicherstellen, dass sie installiert sind.

Die neu attackierte Schwachstelle betrifft nach Apples Angaben Messages. "Ein Logikfehler kann bei der Verarbeitung von bösartig präparierten Fotos oder Videos auftreten, die mittels eines iCloud-Links geteilt wurden", schreiben die Entwickler dazu (CVE-2025-43200 / EUVD-2025-18428, CVSS steht noch aus, Risikoeinstufung fehlt derzeit). Sie erklären weiter: "Apple weiß von einem Bericht, demzufolge dieses Problem in einem extrem ausgeklügelten Angriff gegen bestimmte Zielpersonen ausgenutzt worden sein könnte." Das Problem löst Apple, indem aktualisierte Betriebssysteme hier verbesserte Prüfungen vornehmen.

Der Schwachstelleneintrag stammt vom Montag dieser Woche. Sicherheitsmitteilungen zu den diversen Betriebssystemen und -versionen hat Apple hingegen bereits am Donnerstag vergangener Woche aktualisiert oder neu veröffentlicht.

Ein weiteres Sicherheitsleck, das in einigen Mitteilungen zu den Sicherheitsupdates Erwähnung findet und bereits in Angriffen missbraucht wurde, betrifft den Teilbereich Barrierefreiheit. Es geht dabei um den USB-Anschluss von gesperrten Geräten, wobei Angreifer den USB Restricted Mode umgehen konnten; der Missbrauch dieser Schwachstelle wurde bereits im Februar bekannt (CVE-2025-24200 / EUVD-2025-3671, CVSS 6.1, Risiko "mittel").

Die neu bekannt gewordene und im Netz angegriffene Sicherheitslücke schließen folgende Betriebssystemversionen:

Mit dem Update 1.101 ("Mai") von Visual Studio Code (VS Code) beherrscht der Editor das komplette Model Context Protocol (MCP) mit allen Spezifikationen: Die Autorisierung erhöht die Sicherheit bei der Nutzung von MCP-Quellen und Sampling ermöglicht die Kommunikation mit dem LLM.

Erst im März gab es ein Update des MCP-Protokolls, das eine Autorisierung zwischen Client und Server eingeführt hat, wobei ein externes Identitätsmanagement wie OAuth zum Einsatz kommt. Das nimmt die Verantwortung von Entwicklerinnen und Entwicklern, für MCP-Quellen eigene und sichere Autorisierungsmechanismen einzubauen. Und sie können die Entwicklung des Servers unabhängig vom Usermanagement vorantreiben. Als Beispiel nennt der Blogeintrag den GitHub-MCP-Server, der sich in VS Code mit den dort meist eh vorhandenen GitHub-Credentials nutzen lässt. Anwenderinnen und Anwender müssen den Zugriff nur einmal gestatten, wie folgendes Bild zeigt.

Für den GitHub-MCP-Server stehen in VS Code die GitHub-Credentials zur Verfügung.

(Bild: Microsoft)

Weitere neue MCP-Fähigkeiten in VS Code sind Sampling, Prompts und Ressourcen. Beim Sampling kann ein MCP-Server auf das LLM direkt zugreifen und dabei den API-Key des Editors (als Client) verwenden. Der Server benötigt keinen eigenen Key für das LLM. Prompts sind Prompt-Vorlagen für das LLM, die der Server dynamisch generiert und die die Anwender im Sinne des aktuellen Kontexts an das LLM weiterreichen können. Ressourcen dienen als weitere Quellen, beispielweise Screenshots oder Log-Dateien.

Wer auf die Gesichtserkennung zur Geräteentsperrung setzt, ist in den vergangenen Wochen vermutlich darüber gestolpert, dass das in dunklen Umgebungen nicht mehr klappt. Ursache ist ein Sicherheitsupdate vom April-Patchday, wie nun einige Medienberichte andeuten.

Microsoft benennt das jedoch nicht explizit, die Hinweise lassen sich lediglich durch Interpretation zum Fakt verbinden. Den Windows-Update-Notizen aus dem April lässt sich eine Änderung an Windows Hello entnehmen: "Nach der Installation dieses oder eines späteren Windows Updates benötigt die Windows-Hello-Gesichtserkennung für verbesserte Sicherheit Farbkameras, um ein sichtbares Gesicht für das Einloggen zu erkennen", schrieb Microsoft dort.

Zum April-Patchday hat Microsoft Änderungen an der Windows-Hello-Gesíchtserkennung angekündigt.

(Bild: Screenshot / dmk)

Dafür verweist das Unternehmen auf eine Schwachstelle, die mit den Updates zum April-Patchday geschlossen wurde. Die Fehlerbeschreibung lautet etwas ungelenk: "Ein automatischer Erkennungsmechanismus mit unzureichender Erkennung oder Verarbeitung von Störungen durch bösartige Eingaben in Windows Hello ermöglicht es unbefugten Angreifern, lokal Spoofing zu betreiben" (CVE-2025-26644 / EUVD-2025-10237, CVSS 5.1, Risiko "mittel"). Wie genau sich Angreifer so unbefugt als jemand anderes ausgeben können, erörtert Microsoft nicht. Betroffen sind alle Windows-Varianten von Windows 10 bis Windows Server 2025 laut Microsofts Auflistung.

Das BKA hat den mutmaßlichen Betreiber des Online-Drogenmarktplatzes "Archetyp Market" am Mittwoch vergangener Woche in Barcelona festgenommen. Die spanische Nationalpolizei hat den 30-jährigen Deutschen mit einer Spezialeinheit gestellt. Die Ermittler legen ihm zur Last, den illegalen Online-Marktplatz, der ausschließlich im Darknet – also dem Tor-Netzwerk – erreichbar war, als Administrator zusammen mit weiteren Moderatoren betrieben zu haben.

Die Bundespolizisten teilen mit, dass die Plattform "Archetyp Market" eine der weltweit größten "und am längsten bestehenden kriminellen Handelsplattform im Darknet" sei. Hauptsächlich hätten die Mitglieder dort Drogen wie Amphetamin, Cannabis, Fentanyl, Heroin und Kokain verkauft. Der Gesamtumsatz der Plattform soll 250 Millionen Euro betragen. Vor der Schließung durch die Behörden fanden sich dort etwa 17.000 Verkaufsangebote, die rund 3200 Verkäufer den etwa 610.000 Kundenkonten unterbreitet haben.

Zahlungsmittel auf "Archetyp Market" war die Kryptowährung Monero. Auch gegen den Betreiber bestehe der Verdacht "des bandenmäßigen unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge". Seine Wohnung in Barcelona und Objekte in Hannover, im Landkreis Minden-Lübbecke sowie eines in Bukarest haben Strafverfolger im Rahmen der Aktion durchsucht. Dabei haben sie als Beweismittel acht Mobiltelefone, vier Computer, 34 Datenträger und Vermögenswerte von insgesamt rund 7,8 Millionen Euro sichern können.

Die niederländische Nationalpolizei konnte die in einem Rechenzentrum in den Niederlanden stehende Serverinfrastruktur, die die kriminelle Plattform genutzt hat, sicherstellen und abschalten. Seitdem prangt obiges Banner auf dem Darknet-Marktplatz.

Dem BKA zufolge gab es zudem weitere koordinierte Durchsuchungen in Deutschland und in Schweden. Das geschah im Rahmen eigener Ermittlungsverfahren gegen Moderatoren und Verkäufer auf "Archetyp Market". Insgesamt haben die Ermittler 20 Objekte durchsucht, davon zwei in Nordrhein-Westfalen, zwei in Niedersachsen, eines in Hessen und eines Baden-Württemberg. In Schweden haben sie zudem sieben weitere Personen festgenommen. Dabei wurden von allen Beschuldigten insgesamt 47 Smartphones, 45 Computer und Notebooks, Betäubungsmittel und weitere Vermögenswerte beschlagnahmt. Die dabei sichergestellten Daten wollen die Strafverfolger nun auswerten und als Basis für weitere Ermittlungsansätze nutzen.

In Dells ControlVault klaffen Sicherheitslücken in den Treibern und der Firmware, die Angreifern das Einschleusen und Ausführen von Schadcode und damit die Übernahme von Systemen ermöglichen. Dell bietet aktualisierte Software an, um die Sicherheitslecks zu schließen.

Dell ControlVault soll mit zusätzlicher Hardware sensible Informationen wie Passwörter, biometrische Zugangsdaten und Sicherheitscodes sicher ablegen. Es stellt eine sichere Umgebung für die Verwaltung von Authentifizierungsmethoden wie Fingerabdruckerkennung, Smartcard-Unterstützung oder NFC bereit. Dazu müssen auf den Geräten Hardware-Treiber, ein Treiber für das biometrische Framework für Windows sowie die ControlVault-Firmware installiert werden. In den Treibern und der Firmware warnt Dell nun vor fünf Sicherheitslücken, allesamt hochriskant.

Mit Details zu den Lücken hält Dell sich in der Warnung vornehm zurück, lediglich die CVE-Nummern nennt der Hersteller und stuft das Risiko abweichend von den CVSS-Werten als "kritisch" ein. In Dell ControlVault 3 und der Plus-Variante kann ein präparierter API-Aufruf zu Schreibzugriffen außerhalb vorgesehener Speichergrenzen führen (CVE-2025-25050 / EUVD-2025-18302, CVSS 8.8, Risiko "hoch"). In der Funktion securebio_identify kann ein manipuliertes cv_object einen Pufferüberlauf auf dem Stack und in der Folge das Ausführen von untergejubelten Schadcode auslösen (CVE-2025-24922 / EUVD-2025-18303, CVSS 8.8, Risiko "hoch"). Angreifer können mit präparierten API-Aufrufen eine ungeplante Freigabe von Ressourcen provozieren – hier fehlen jedwede Hinweise, wofür sie das missbrauchen können (CVE-2025-25215 / EUVD-2025-18306, CVSS 8.8, Risiko "hoch").

Weiterhin können bösartige Akteure unbefugt an Informationen gelangen, da ein manipulierter API-Aufruf Lesezugriffe außerhalb vorgesehener Speichergrenzen ermöglicht (CVE-2025-24311 / EUVD-2025-18304, CVSS 8.4, Risiko "hoch"). Wenn Angreifer eine kompromittierte ControlVault-Firmware eine bösartige Antwort auf einen Befehl der cvhDecapsulateCmd-Funktion ausgeben lassen, kann das zu einer Deserialisierung von nicht vertrauenswürdigem Input und in der Folge zur Ausführung beliebigen Codes führen (CVE-2025-24919 / EUVD-2025-18307, CVSS 8.1, Risiko "hoch").

Die Versionen Dell ControlVault3 5.15.10.14 sowie Dell ControlVault3 Plus 6.2.26.36 und neuer stopfen die Sicherheitslücken. Ebenfalls verwundbar ist Broadcoms BCM5820X, hier nennt Dell jedoch keine Softwareversionen, die die Probleme beseitigen.

Angreifer können an einer Sicherheitslücke in Dell iDRAC Tools ansetzen, um Server zu attackieren. Mittlerweile haben die Entwickler die Schwachstelle geschlossen.

Die Lücke (CVE-2025-27689) ist mit dem Bedrohungsgrad "hoch" versehen. Um eine Attacke einleiten zu können, muss ein lokaler Angreifer bereits über niedrige Nutzerrechte verfügen. Ist das gegeben, kann er sich auf einem nicht näher beschriebenen Weg höhere Rechte verschaffen.

Die Entwickler versichern, die Schwachstelle in iDRAC Tools 11.3.0.0 geschlossen zu haben. Alle vorigen Ausgaben sind verwundbar. Sie weisen in einem Beitrag darauf hin, dass der Sicherheitspatch nur in Kombination mit bestimmten Windows-Server-2025-Versionen Systeme effektiv schützt.

Der Einfachheit halber bietet Dell im Zuge seines Dell-Digital-Locker-Angebots ein Bundle bestehend aus der gepatchten iDRAC-Version inklusive einer passenden Windows-Server-2025-Ausgabe zum Download.

Der Schwachstellenscanner Tenable Agent ist derzeit selbst verwundbar. Angreifer können an drei Schwachstellen ansetzen, um Systeme zu attackieren. Bislang gibt es keine Berichte zu laufenden Attacken. Eine reparierte Version steht zum Download bereit.

In einer Warnmeldung führen die Entwickler aus, dass sie insgesamt drei Lücken (CVE-2025-36631 "hoch", CVE-2025-36632 "hoch", CVE-2025-36633 "hoch") geschlossen haben. Den Beschreibungen der Schwachstellen zufolge können nicht-administrative Benutzer Attacken ausführen. Klappt das, können Angreifer unter anderem Dateien mit Systemrechten manipulieren oder sogar löschen. Außerdem kann Schadcode auf PCs gelangen.

Wie solche Attacken im Detail ablaufen könnten, ist bislang unklar. Unbekannt ist derzeit auch, woran Admins bereits attackierte Computer erkennen können. Die Entwickler geben an, die Schwachstellen in Tenable Agent 10.8.5 geschlossen zu haben. Alle vorigen Versionen sollen angreifbar sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die aktuelle Ausgabe Kali Linux 2025.5 bringt neben den aktualisierten Desktopumgebungen Gnome und KDE Plasma auch neue Funktionen und Tools mit. Mit Kali Linux klopfen Sicherheitsforscher und Pentester etwa Betriebssysteme und Softwares auf Sicherheit ab. Die überarbeitete Linux-Distribution steht ab sofort zum Download bereit.

Alle Neuerungen listen die Entwickler in einem Beitrag auf. Im Menü haben die Entwickler die Übersicht verbessert, sodass Sicherheitsforscher für bestimmte Einsatzzwecke geeignete Tools schneller finden. Die Neuanordnung folgt dem MITRE ATT&CK Framework. Dabei handelt es sich um eine Wissensdatenbank zur Beschreibung und Klassifizierungen von Cyberbedrohungen.

Die Darstellung des Desktops fußt nun auf GNOME 48 oder KDE Plasma 6.3. Etwa GNOME 48 läuft unter anderem performanter und kann High-Dynamic-Range-Inhalte (HDR) darstellen. Außerdem wurde der Texteditor überarbeitet.

Pentester, die Active-Directory-Umgebungen auf Sicherheit abklopfen, freuen sich über ein Upgrade auf die aktuelle BloodHound Community Edition. Damit bildet man Active-Directory-Infrastrukturen ab, um Schwachstellen aufzudecken. Die aktuelle Ausgabe bringt etwa bloodhound-ce-python mit.

Außerdem gibt es noch weitere neue Tools wie binwalk3 für Firmwareanalysen und gitxray zum Scannen von GitHub-Repositories.

Wenn Angreifer erfolgreich an Sicherheitslücken in IBM AIX/VIOS und DataPower Gateway ansetzen, kann Schadcode auf Systeme gelangen und diese kompromittieren. Updates schließen die Schwachstellen.

Bislang gibt es keine Berichte, dass Angreifer das Unix-Betriebssystem AIX oder die Sicherheits- und Integrationsplattform DataPower Gateway attackieren. Admins sollten mit der Installation der Sicherheitspatches aber nicht zu lange warten.

Weil die Perl-Implementierung in AIX/VIOS fehlerhaft ist, können Angreifer an einer Lücke (CVE-2025-33112 "hoch") ansetzen. Das Sicherheitsproblem besteht darin, dass Pfadnamen-Eingaben nicht ausreichend bereinigt werden, sodass lokale Angreifer an dieser Stelle mit präparierten Eingaben ansetzen können. Klappt so eine Attacke, kommt es zu Ausführung von Schadcode. Danach gelten Computer in der Regel als vollständig kompromittiert.

In einer Warnmeldung zu dieser Lücke beschreiben die Entwickler, wie man das Sicherheitsupdate installiert.

Wie aus einem Beitrag hervorgeht, haben die Entwickler in DataPower Gateway unzählige Sicherheitslücken geschlossen, deren Auflistung den Rahmen dieser Meldung sprengt. Sie betreffen alle den Linux-Kernel des Systems. Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad "mittel" eingestuft. Über mehrere mit "hoch" eingestufte Lücken (zum Beispiel CVE-2024-26704) kann Schadcode auf Systeme gelangen.

Seit Anfang des Jahres enthalten immer mehr Phishing-Mails einen Datei-Anhang mit einer SVG-Grafik, wie nahezu alle Anbieter von E-Mail-Sicherheits-Lösungen übereinstimmend berichten. Jetzt warnt auch das österreichische CERT.at vor der davon ausgehenden Gefahr.

Scalable Vector Graphics, kurz SVGs, bestehen aus beschreibendem Text im XML-Format, der den Renderer – im Allgemeinen den Browser – anweist, Objekte an bestimmten Positionen zu zeichnen. Das lässt sich dann beliebig in der Größe variieren, ohne dass dabei etwa Schrift verpixelt.

Allerdings können solche Vektorgrafiken auch JavaScript-Code enthalten, den der Browser beim Öffnen der Datei ausführt. Das machen sich die Phisher zunutze, indem sie die Empfänger auf gefälschte Anmeldeseiten lotsen oder auch Schadsoftware installieren. Ziel ist es fast immer, Passwörter oder andere Zugangs-Credentials abzugreifen. Die SVGs kommen häufig als Rechnungen, angebliche Sprachnachrichten oder zu signierende Dokumente.

Diese Demo aus meinem Vortrag auf der heise security Tour enthält harmloses JavaScript, das "heise security ROCKS" ausgibt.

Viele Sicherheitslösungen überprüfen SVG-Dateien nicht ausreichend, sodass auf diesem Weg Schadcode auf die Systeme der Opfer gelangen könne, warnt das Advisory der österreichischen Security-Experten. Als vorbeugende Schutzmaßnahme blockiert man im einfachsten Fall vorsichtshalber den Empfang von SVG-Grafiken, etwa auf dem Mail-Gateway. Allerdings kann das durchaus zu Problemen führen, wenn diese Anhänge benötigt werden. Dann ist es vielleicht eine Option, zumindest jene Mails, die Skripte enthalten, in Quarantäne zu verschieben. Ansonsten muss man notgedrungen darauf setzen, dass Anwender die von SVGs ausgehende Gefahr richtig einschätzen, und kann versuchen, dies durch entsprechende Hinweise und Schulungen zu unterstützen.

Nach Apple will sich nun auch WhatsApp dagegen wehren, dass die britische Regierung versucht, zwangsweise Hintertüren in iOS zu implementieren. Meta-Manager Will Cathcart, der der Messaging-App vorsteht, sagte, man unterstütze Apple in seinem aktuell laufenden rechtlichen Abwehrkampf gegen das britische Innenministerium (UK Home Office). Er fürchte, dass hier ein "gefährlicher Präzedenzfall" geschaffen werde, der auch andere Nationen ermutigen könne, Verschlüsselung zu brechen, ohne die Nutzer nicht sicher im Netz und auf ihren Geräten agieren können.

"WhatsApp wird gegen jedes Gesetz und jede behördliche Anordnung, die darauf abzielt, die Verschlüsselung unserer Dienste zu schwächen, vorgehen und sich weiter für das Recht der Menschen auf private Online-Kommunikation einsetzen", sagte Cathcart dem britischen Sender BBC. Ob Meta und/oder seine Tochter WhatsApp das bereits tun, ist unklar. Ein großes Problem ist, dass die Anweisungen, die das UK Home Office Digitalfirmen erteilt, geheim sind. Apple musste erst juristisch Druck machen, um Teile der Schnüffelbefehle offenlegen zu können. Entsprechend ist es durchaus möglich, dass auch andere Unternehmen bereits entsprechende Aufforderungen erhalten haben.

Das Thema Hintertür ist auch ein politisch heißes Eisen: So sieht die US-Regierung darin ein ähnliches Agieren wie jenes der chinesischen Regierung beim Ausspionieren der Bevölkerung. So etwas "kennt man aus China", hatte Präsident Donald Trump im März in einem Interview mit dem britischen Politikmagazin The Spectator gesagt. Er habe dem britischen Premierminister Keir Stamer gesagt, dass man das "nicht machen" könne. Auch die Direktorin für Nationale Sicherheit, Tulsi Gabbard, kritisierte das Vorhaben scharf. Es handele sich um einen "ungeheuerlichen Verstoß" gegen die Privatsphäre der US-Bürger.

Sollte Apple tatsächlich dazu gezwungen werden, eine Hintertür in iOS einzubauen, wären Nutzer in aller Welt betroffen. Apple hatte Anfang Februar laut Medienberichten eine geheime Anweisung nach dem umstrittenen Investigatory Powers Act (IPA) erhalten. Offiziell wurde das zunächst nicht bestätigt, da alle Beteiligten auch von Gesetzes wegen Stillschweigen darüber zu wahren haben. Apple hatte zwischenzeitlich erwogen, Großbritannien wegen des neuen Gesetzes zu verlassen.

Das Spionagegesetz ermächtigt die britische Regierung, im Geheimen ein Veto gegen technische Schutzmaßnahmen einzulegen, wie etwa eine verbesserte Verschlüsselung – und das mit weltweiten Auswirkungen. Genau dies soll Apple mit seiner Advanced Data Protection (ADP) getroffen haben. Um diese zu umgehen, wollen die britischen Behörden direkten Zugriff aufs Betriebssystem: Dann wäre es egal, ob die Informationen (auch für Apple nicht einsehbar) in der Cloud liegen. Ähnliche Ansätze versucht übrigens auch die EU: Hier will man ebenfalls vor der Verschlüsselung an die Daten. Hinzu kommt eine geforderte Pflicht nach einer sogenannten Chatkontrolle.

Die Softwareentwicklungsplattform GitLab ist verwundbar. Mehrere Sicherheitslücken gefährden Systeme. Nach erfolgreichen Attacken können Angeifer unter anderem die Kontrolle über Accounts erlangen und unbefugt auf Daten zugreifen.

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler in GitLab Community Edition und Enterprise Edition insgesamt zehn Lücken geschlossen. Auch wenn es derzeit noch keine Berichte über laufende Attacken gibt, empfehlen die Entwickler Admins, die abgesicherten Versionen auf ihren selbstverwalteten Installationen umgehend zu installieren. Sie geben an, dass auf GitLab.com bereits die reparierten Ausgaben laufen.

Geschieht das nicht, können Angreifer unter anderem Accounts kapern (CVE-2025-4278 "hoch"), eigenen Code ausführen (CVE-2025-2254 "hoch") und Systeme über DoS-Attacken (etwa CVE-2025-0673 "hoch") aus dem Verkehr ziehen. Außerdem können Angreifer noch auf eigentlich abgeriegelte Informationen zugreifen (CVE-2025-5195 "mittel"). Wie solche Attacken ablaufen könnten, ist bislang unklar. Unbekannt ist derzeit auch, an welchen Parametern Admins bereits attackierte Systeme erkennen können.

Die Entwickler versichern, die Schwachstellen in den Ausgaben 17.10.8, 17.11.4 und 18.0.2 bereinigt zu haben. Zusätzlich haben sie in den aktuellen Versionen noch mehrere Bugs gefixt, die in der Warnmeldung aufgelistet sind. Die Sicherheitslücken seien intern entdeckt worden.

In den vergangenen Monaten haben die Entwickler GitLab unter anderem gegen Admin-Attacken abgesichert, bei denen heruntergestufte Admins weitreichende Rechte behalten haben.