Comretix Blog

Das JavaScript-Webframework Astro legt in Version 5.9 den Fokus auf Security und erlaubt die experimentelle Nutzung der Content Security Policy (CSP). Zudem hat das Astro-Team eine Helper-Funktion für das Rendern von Markdown-Inhalten hinzugefügt.

Das neue Release lässt sich mittels automatisiertem CLI-Tool @astrojs/upgrade oder manuell per Paketmanager installieren. Hierbei ist die empfohlene Methode npx (npx @astrojs/upgrade).

Wie das Astro-Team ausführt, zählen Cross-Site-Scripting-Angriffe (XSS) zu den häufigsten Attacken auf Websites. Standardmäßig können Webseiten beliebige Skripte und Styles von einer beliebigen Quelle laden. Die beste Abwehr gegen XSS sei es demnach, das einzuschränken. Hier kommt die Content Security Policy ins Spiel, indem sie die Ziele auf eine Liste vertrauenswürdiger Quellen einschränkt.

Astro 5.9 bringt für CSP experimentellen Support out-of-the-box mit. CSP lässt sich dadurch in allen Render-Modi (statische Seiten, dynamische Seiten und Single-Page-Anwendungen) einsetzen, wobei eine hohe Flexibilität und Typsicherheit gegeben sein sollen. Der Workaround unsafe-inline soll hierdurch überflüssig werden.

Um CSP in Astro zu nutzen, ist es nötig, das experimentelle Flag zu aktivieren:

SAP hat zum Juni-Patchday 14 Sicherheitsmitteilungen veröffentlicht. In denen behandeln die Entwickler des Hauses teils kritische Sicherheitslücken in diversen Produkten. IT-Verantwortliche sollten die bereitgestellten Softwareupdates zügig installieren.

In der Übersicht zum Patchday von SAP listet der Hersteller die einzelnen Sicherheitsnotizen zu den Schwachstellen auf. Die schwerwiegendste Lücke betrifft den SAP Netweaver Application Server for ABAP. Das Verarbeiten bestimmter eingehender Kommunikation unterlässt nötige Autorisierungsprüfungen für authentifizierte Nutzerinnen und Nutzer, wodurch bösartige Akteure ihre Rechte ausweiten können (CVE-2025-42989 / EUVD-2025-17599, CVSS 9.6, Risiko "kritisch").

Fünf weitere Schwachstellen haben die Einstufung als hohes Risiko erhalten, sechs eine als mittleres und schließlich zwei die Einordnung als Risikostufe "niedrig".

Die Sicherheitslücken im einzelnen, nach Schweregrad sortiert:

Der SAP-Patchday im Mai brachte Sicherheitsupdates für Schwachstellen aus 16 Sicherheitsnotizen. Auch dort stellte eine kritische Sicherheitslücke in SAP Netweaver das größte Risiko der behandelten Sicherheitslecks dar.

GIMP hat eine Schwachstelle in der Verarbeitung von ICO-Dateien. Angreifer können dadurch mit manipulierten Icon-Dateien Schadcode einschleusen.

Die Sicherheitslücke hat Trend Micros Zero-Day-Initiative (ZDI) gemeldet. Es handelt sich um einen nicht näher spezifizierten Integer-Überlauf im ICO-Parser von GIMP, der auf unzureichende Überprüfung von Nutzer-.kontrollierten Daten zurückgeht. Vor dem Schreiben auf den Speicher kann dieser Überlauf auftreten – die Beschreibung nennt es nicht explizit, aber oftmals reicht die Göße eines angelegten Puffers dann nicht, um die Daten aufzunehmen, wodurch sich Speicherbereiche mit eingeschleusten Inhalten überschreiben lassen. Um die Lücke zu missbrauchen, müssen potenzielle Opfer eine bösartige Webseite besuchen oder eine sorgsam präparierte Datei öffnen (CVE-2025-5473 / EUVD-2025-17358, CVSS 7.8, Risiko "hoch").

Die Sicherheitsmitteilung der EUVD nennt als betroffene Version 3.0.2. Eine derartige Einschränkung findet sich weder beim ZDI, noch im CVE-Schwachstelleneintrag. Wahrscheinlich sind auch ältere Versionen angreifbar.

Die Entwickler haben das Sicherheitsleck zumindest in GIMP 3.0.4 abgedichtet, das im Mai erschienen ist. Die meisten Linux-Distributionen haben inzwischen aktualisierte Pakete verteilt. Wer GIMP unter Windows nutzt und die Software aus dem Microsoft Store bezogen hat, hat das Update bereits automatisch erhalten. Alle anderen GIMP-Nutzerinnen und -Nutzer sollten prüfen, ob sie schon die aktuelle Version einsetzen und sie gegebenenfalls aktualisieren.

Mitte März haben die Entwickler das seit Jahren erwartete Update auf GIMP 3 veröffentlicht. Einige Sicherheitslücken schließen die Entwickler mit dem 3er-Entwicklungszweig, die im Zweig GIMP 2 noch enthalten sind. Eine Migration auf den neuen GIMP-Softwarezweig empfiehlt sich auch daher.

Besucher des Weißen Hauses können über ein Gäste-WLAN von Elon Musk ins Internet gehen – ganz ohne jegliche Authentifikation oder eine Protokollierung der Verbindungsdaten, wie es bei Internetzugängen im Weißen Haus normalerweise üblich ist. Es ist nur der wohl gravierendste von mehreren Sicherheitsmängeln an Starlink, Elon Musks Dienst für Satelliten-Internet, der seit März auch an mehreren Standorten der US-Regierung im Einsatz ist. Jetzt wird die ganze Tragweite des Problems bekannt.

Nun haben sich Verantwortliche des Weißen Hauses aus dem Bereich Telekommunikation anonym an die Washington Post (WP) gewandt und über die Situation gesprochen. Normalerweise könnten private Smartphones in Gast-WLANs nur mit eigenem Nutzernamen und Passwort surfen, natürlich erst nach einem ausführlichen Freigabeprozess und mit entsprechender Sicherheitssoftware. Die Zugänge müssten zudem wöchentlich erneuert werden und der Verkehr darüber würde aufgezeichnet. Verbindungen nach außerhalb des Weißen Hauses ließen sich nur über einen VPN-Tunnel herstellen. Die Regeln für Internetnutzung im Weißen Haus gehörten zu den strengsten im ganzen Land. Eigentlich – "Starlink erfordert nichts dergleichen", macht eine der WP-Kontaktpersonen klar. Die Technologie erlaube es, Daten ohne jede Mitzeichnung oder Ortung zu übermitteln. Auch, weil der VPN-Tunnel hier entfällt. "Starlink ermöglicht es, die Sicherheitsvorkehrungen zu umgehen", zitiert die WP ihre Quelle.

Abgeordnete der Demokraten, die Mitglied im White House Oversight Committee – einem Aufsichtsgremium des Weißen Hauses – sind, seien bereits über die Lage informiert worden. Sie hätten sich dazu auch an die Trump-Administration gewandt, bis heute aber keine Antwort dazu erhalten. Das sagte Stephen F. Lynch der WP, er führt die Gruppe der Demokraten im Komitee. Mutige Whistleblower hätten brisante Informationen an die Gruppe herangetragen, es würde eine Untersuchung laufen.

Die Situation habe möglicherweise "das Potenzial, unsere nationale Sicherheit zu unterwandern", sagt er. Kein Wunder, ist das Weiße Haus schließlich so etwas wie das Herzstück der US-Regierung. Aufgrund der zahlreichen und vielseitigen Aufgaben, welche die Angehörigen hier erfüllen, haben sie auch mehr Freiheiten im Hinblick auf ihre Smartphones – bei US-Nachrichtendiensten wäre das zum Beispiel undenkbar, schreibt die WP.

Auch an anderen Regierungsstandorten gibt es Starlink, die WP nennt einen Whistleblower, der auf den Einsatz der Technologie beim National Labor Relations Board aufmerksam gemacht habe. Die Behörde ist für die Durchsetzung von Arbeitsrechten zuständig. Ein ehemaliger Beschäftigter der General Services Administration (GSA) sagte der Zeitung, Angehörige von Elon Musks Einsparungsbehörde DOGE hätten Starlink vergangenen Monat dort genutzt – auch hier ohne jede Mitzeichnung oder Ortung. Die GSA ist für die Versorgung der US-Regierung mit Büros und Büromaterial, Telekommunikationsausstattung und Transportkapazitäten zuständig.

Ein Sicherheitsupdate von Microsoft aus dem April hat auf Windows-Systemen einen Ordner namens "inetpub" angelegt. Den haben einige Nutzer arglos gelöscht, was jedoch ein neues Sicherheitsleck aufreißt. Microsoft stellt nun ein Powershell-Script bereit, das den Ordner und korrekte Berechtigungen dafür wieder anlegt.

Microsoft hat die Sicherheitsmitteilung zu der Schwachstelle, die das Update schließt, welches seinerseits den "inetpub"-Ordner anlegt, aktualisiert. "Auf Systemen, auf denen KB5055528 [die April-Sicherheitsupdates] installiert ist, aber das Verzeichnis '%systemroot%\inetpub' gelöscht wurde, ist eine sofortige Abhilfe erforderlich. Wenn das Verzeichnis 'inetpub' gelöscht wurde, müssen Sie das Abhilfe-Skript Set-InetpubFolderAcl.ps1 ausführen", schreibt Microsoft nun dort.

Nun stellt Microsoft ein Powershell-Script zur Verfügung, das das Problem lösen helfen soll. Laut Microsofts Beschreibung legt es das "inetpub"-Verzeichnis neu an, sollte es gelöscht worden sein. Außerdem "stellt es sicher, dass die Verzeichnisrechte korrekt konfiguriert sind, um unbefugten Zugriff und potenzielle Schwachstellen im Bezug auf CVE-2025-21204 zu verhindern", erörtert das Unternehmen.

Zudem aktualisiert das Skript die Zugriffsrechte (ACLs) des Verzeichnisses "DeviceHealthAttestation", sofern es vorhanden ist. "Dieses Verzeichnis wurde auf bestimmten Server-Versionen von den Sicherheitsupdates aus dem Februar 2025 erzeugt. Das Skript aktualisiert die ACLs des Verzeichnisses, um sicherzustellen, dass es sicher ist", erklärt Microsoft in der aktualisierten Sicherheitsmeldung.

Um das Script zu installieren, soll der Aufruf Install-Script -Name Set-InetpubFolderAcl genügen. Um das Script selbst zu starten, sind Admin-Rechte nötig.

Mit dem Update auf Android 16 hat Google eine neue Schaltzentrale für Sicherheitsfunktionen angekündigt. Doch mit der kurz vor der Veröffentlichung stehenden stabilen Version scheint das zentralisierte "Erweiterte Sicherheitsprogramm" noch nicht zu erscheinen, sondern erst mit der im Herbst kommenden Version QPR1. Denn wie das neue Material-3-Expressive-Design sind die erweiterten Sicherheitsfunktionen erst in der QPR1 aufgetaucht.

Das "Erweiterte Sicherheitsprogramm" ist nicht vollkommen neu, allerdings waren die Funktionen bislang verstreut. Mit dem anstehenden Update packt Google die Einstellungen an einen Ort, integriert aber auch vier neue Sicherheitsfunktionen. Zudem gilt, dass der Geräteschutz vom Nutzer aktiviert werden muss. Ist der Schalter in den Einstellungen unter "Datenschutz & Sicherheit" > "Erweitertes Sicherheitsprogramm" umgelegt, treten sämtliche Sicherheitsvorkehrungen auf einen Streich in Kraft. Sobald der erweiterte Schutz aktiviert ist, können diese Sicherheitsprotokolle nicht mehr angepasst werden.

Android 16: Nach Aktivierung des erweiterten Sicherheitsprogramms muss das Smartphone neu gestartet werden.

(Bild: heise online/afl)

Im neuen Dashboard sind die Sicherheitsfunktionen nach Kategorien wie Gerätediebstahl, Apps, Netzwerke, Web und Telefon-App sortiert. In der Rubrik Gerätediebstahl informiert der Hersteller darüber, dass das Gerät nach drei Tagen der Inaktivität neu gestartet wird. Diese Funktion ist schon seit einigen Wochen bekannt, jedoch war damals unklar, ob sie Teil des optionalen Programms ist.

Das Bundesinnenministerium (BMI) arbeitet derzeit am Umsetzungsgesetz zur revidierten Netzwerk- und Informationssicherheitsrichtlinie der Europäischen Union (NIS2). Die Umsetzung in deutsches Bundesrecht hätte eigentlich bis zum 17. Oktober 2024 erfolgen müssen, wurde aber aufgrund des Ampel-Endes wurde das Gesetz jedoch nicht mehr vom alten Bundestag verabschiedet. In einem nun bekannt gewordenen Zwischenstand von Ende Mai zeigt sich, dass große Teile des Ampel-Entwurfs den Regierungswechsel überdauert haben. Kleinere Änderungen gegenüber dem letzten Entwurf sind dennoch enthalten.

Die Änderungen beim nun von der AG Kritis veröffentlichten Zwischenstand betreffen unter anderem den Telekommunikationssektor. Bisher mussten Unternehmen mindestens 10 Millionen Euro Jahresumsatz und zusätzlich eine ebenso hohe Bilanzsumme vorweisen, um unter NIS2 zu fallen, im neuen Entwurf wird aus dem "und" ein "oder". Somit dürften mehr der kleineren TK-Anbieter unter die Regelungen fallen.

Teilweise eingearbeitet wurden zudem die Beschlussempfehlungen aus dem Innenausschuss des vergangenen Bundestages. Gestrichen wurde zudem ein Absatz, der nach dem Motto "melden macht frei" dazu geführt hätte, dass keine zusätzlichen Maßnahmen ergriffen werden müssten, wenn ein Betreiber selbst einen Vorfall meldet.

Vor allem die Bundesverwaltung fasst die aktualisierte Entwurfsversion strenger an: Statt wie bisher geplant nach fünf Jahren sollen diese nunmehr nach drei Jahren nachweisen, dass sie die Anforderungen erfüllen. Und auch hier wird angepasst: auch die Bundesverwaltung, also Ministerien und nachgeordnete Behörden, müssen sich an Standards des Bundesamts für Sicherheit in der Informationstechnik und den IT-Grundschutz halten -- der zum 1. Januar 2026 vom BSI "modernisiert und fortentwickelt" werden soll.

Weiterhin nicht gelöst ist das Problem, dass der Bund keine Vorschriften für Länder und Kommunen erlassen kann. Gerade letztere waren in den vergangenen Jahren häufig das Ziel von Angriffen. Die Vorschriften hierfür liegen jedoch aufgrund des sogenannten Mischverwaltungsverbotes ausschließlich in der Hand der Bundesländer.

Microsoft hat eine kritische Sicherheitslücke in dem "Robotic Process Automation"-Tool (RPA) Power Automate (auch als Power Automate Desktop bekannt) entdeckt. Serverseitige Updates stopfen sie. Außerdem wurde nun bekannt, dass Microsoft den Support für persönliche Dienst-Konten einstellt. Nutzer davon müssen auf ein kostenpflichtiges Azure-Abo umsteigen.

Viele Details zur Sicherheitslücke nennt Microsoft in dem Schwachstelleneintrag nicht. Nicht autorisierte Angreifer können sensible Informationen abgreifen, was ihnen die Ausweitung ihrer Rechte über das Netzwerk ermöglicht (CVE-2025-47966 / EUVD-2025-17028, CVSS 9.8, Risiko "kritisch"). Die gute Nachricht: "Die durch dieses CVE dokumentierte Sicherheitslücke erfordert keine Maßnahmen des Kunden, um sie zu beheben", schreibt Microsoft, denn die Lücke haben die Entwickler auf den Microsoft-Servern bereits gestopft.

Seit vergangener Woche hat Microsoft angefangen, das Ende persönlicher Microsoft-Dienst-Konten in Power Automate einzuläuten. In einem Support-Artikel erklärt Microsoft, dass der Vorgang am 26. Juli beendet sein soll. Ab da an müssen diejenigen, die Power Automate weiternutzen wollen, ein Azure-Konto anlegen und ein Power-Apps-Entwickler-Abo abschließen. Danach ist zudem ein Export der bestehenden Automatisierungen und ein Import in die neue Umgebung nötig.

Ab dem 27. Juli dieses Jahres können sich Nutzerinnen und Nutzer nicht mehr mit persönlichen E-Mail-Konten etwa von gmail.com oder outlook.com im Power-Automate-Portal oder der mobilen App anmelden. Sie können auch keine Cloud-Flows erstellen, editieren oder verwalten. Zudem wird der Zugriff auf sämtliche Cloud-Flows mit Microsoft-Dienst-Konten dauerhaft entfernt und diese gelöscht.

Von Power Automate gibt es auch eine kostenlose Version, die etwa mit einer Windows-10-Lizenz verknüpft ist. Die Software unterstützt Microsoft jedoch weiter, auch mit persönlichen E-Mail-Konten. Hier herrscht jedoch etwas Unklarheit über den Patch-Status – da damit offenbar nicht die Cloud-Version gemeint ist, müsste ein Update auch für die lokale Anwendung verfügbar sein. Davon schreibt Microsoft in der Schwachstellenmeldung jedoch nichts, erwähnt aber explizit den Produktnamen "Power Automate Desktop".

In einem Maßnahmenpaket zur Bekämpfung der Cyberkriminalität versteckt das russische Ministerium für digitale Entwicklung eine Legalisierung bestimmter dDoS-Angriffe. Das Gesetzesvorhaben ist derzeit in Abstimmung mit Behörden und Industrievertretern und enthält mehrere Dutzend neue Maßnahmen.

Verteilte Denial-of-Service-Angriffe (dDoS) sind seit Jahrzehnten eines der größten Probleme für Internetanbieter und Seitenbetreiber. Bei den mittlerweile auf Terabits an Daten angeschwollenen Attacken setzen Cyberkriminelle oder Aktivisten durch Paketfluten Webserver, Apps oder andere Dienste außer Gefecht. Kriminelle nutzen dDoS zur Erpressung, russische Gruppierungen wie Noname057(16) aber auch zum Ausdruck ihrer Unterstützung des Angriffskriegs gegen die Ukraine.

Künftig könnten sie das womöglich mit dem Segen des russischen Justizapparats tun, wenn sie ihre Ziele entsprechend aussuchen. In dem Paket "Betrugsbekämpfung 2.0" (russ.: "Антифрод 2.0") soll dDoS mit empfindlichen Strafandrohungen von bis zu zwei Millionen Rubel Geld-, 8 Jahren Freiheitsstrafe und zwischen einem und drei Jahren Berufsverbot versehen werden. Dazu soll ins russische Strafgesetzbuch der Artikel 272.2 aufgenommen werden, berichtet die russische Tageszeitung Kommersant.

Doch der Entwurf sieht eine Ausnahme vor, wenn Angreifer sich Ziele ausgesucht haben, "deren Zugriff gesetzlich verboten oder eingeschränkt ist". Werden sie bei einem dDoS gegen derlei Ressourcen erwischt, gehen sie straffrei aus. Die Liste dieser eingeschränkten Ressourcen ist in Russland lang. Sie umfasst große soziale Netzwerke wie Instagram, X, Discord und Youtube, fast alle ukrainischen Medienseiten, aber auch Amnesty International und sogar eine Webseite für Schachfreunde.

Somit könnten russische Netzvandalen ungehindert gegen Unternehmen und Dienste vorgehen, solange diese nur auf der Sperrliste von Roskomnadzor, der russischen Aufsichtsbehörde verzeichnet sind. Diese können Interessierte online abfragen, sie war am frühen Freitagnachmittag von mehreren Testpunkten in Deutschland jedoch nicht aufrufbar. Womöglich wegen einer Netzsperre oder gar wegen eines dDoS-Angriffs? Dieser dürfte dann auch nach neuer russischer Rechtsauffassung strafbar sein.

In dieser Woche wurden drei Datenlecks nach IT-Vorfällen bei renommierten Handelsketten bekannt. Kriminelle konnten sensible Daten bei Cartier, Northface und Victoria's Secret kopieren.

Wie der Nachrichtendienst Reuters mitteilte, hat der Luxus-Juwelier Cartier Anfang der Woche in einer E-Mail Kunden darüber informiert, dass es einen Einbruch in die Webseite des Unternehmens gab und einige Kundendaten dabei entwendet wurden. Demnach haben sich "Unbefugte vorübergehend Zugang zu unserem System verschafft". Dabei seien Zugriffe auf "eingeschränkte Kundeninformationen" erfolgt, etwa Namen, E-Mail-Adressen und Länder. "Die betroffenen Informationen enthielten keine Passwörter, Kreditkartendaten oder andere Bankinformationen", man habe den Vorfall seitdem behoben.

Der Bekleidungshersteller The Northface hat ebenfalls Mails an Kunden versendet, die über einen Datenschutz-Vorfall vom 23. April des Jahres informieren. Darin heißt es, dass an dem Tag ungewöhnliche Aktivitäten auf der Webseite aufgefallen seien. Eine Credential-Stuffing-Attacke, bei der Angreifer Zugangsdaten und Passwörter aus vorherigen Datendiebstählen ausprobieren, sei in kleinem Umfang erfolgt. Solche Angriffe versprechen insbesondere dann Erfolg, wenn User Passwörter für andere Dienste wiederverwenden.

Northface informiert die Kunden mit der Nachricht, dass den eigenen Recherchen zufolge die Angreifer zuvor Zugriff auf E-Mail-Adresse und Passwörter der Nutzer erlangt und diese Informationen auf der Northface-Webseite wiederverwendet haben, um auf das Nutzerkonto zuzugreifen. Sofern der Zugriff gelang, können die Angreifer auf Daten wie gekaufte Produkte, Lieferadresse, E-Mail-Adressen, Vor- und Nachname, Geburtsdatum und Telefonnummer zugreifen, sofern Kunden diese angegeben haben. Nicht zugreifbar seien hingegen Zahlungsinformationen wie Kredit- oder Debit-Karten.

Bei dem Luxus-Wäscheanbieter Victoria's Secret hingegen verzögert sich die Bekanntgabe der Unternehmensergebnisse aufgrund eines IT-Sicherheitsvorfalls. Am 24. Mai sei dort ein Sicherheitsvorfall in den IT-Systemen aufgefallen. Als Vorsichtsmaßnahme seien die Unternehmenssysteme und die E-Commerce-Webseite am 26. Mai heruntergefahren worden. Am 29. Mai habe das Unternehmen die Webseite wiederhergestellt. Arbeiten seien noch im Gange, vollen Zugriff auf die Unternehmenssysteme wiederzuerlangen. Es waren auch einige Funktionen in den Victoria's-Secret- und Pink-Geschäften betroffen, die jedoch größtenteils ebenfalls wiederhergestellt seien. Materielle Einbußen habe der Vorfall bislang nicht verursacht.

Bei mindestens einem US-Provider sind mutmaßlich zur chinesischen Regierung gehörende Angreifer schon ein Jahr früher in die Systeme eingebrochen als im Rahmen des umfangreichen Angriffs auf Netzbetreiber, der im Herbst bekannt wurde. Das berichtet Bloomberg unter Berufung auf anonyme Quellen und ein Dokument, das bereits vor Monaten an Geheimdienste verschickt wurde. Demnach wurde bei der Analyse des massiven Cyberangriffs auf mehrere Provider bei einem davon die Malware entdeckt, die dort seit 2023 installiert war. Ob dieser Angriff mit der späteren Attacke zusammenhängt, sei zwar nicht klar, aber die entdeckte Malware werde mit jener Gruppe in Verbindung gebracht, die dafür verantwortlich sein soll.

Wie Bloomberg in Erinnerung ruft, ist im Lauf der Untersuchung des großen Cyberangriffs immer wieder darauf hingewiesen worden, dass der über ein Rootkit für Windows-Kernel namens Demodex erfolgt war. Das wird der Gruppe namens "Salt Typhoon", "GhostEmperor" beziehungsweise "FamousSparrow" zugeschrieben, die der chinesischen Regierung nahestehen soll. Bei einem der Provider sei dann entdeckt worden, dass dieses Rootkit deutlich früher installiert wurde, nämlich bereits 2023. Ob das aber mit dem Großangriff in Zusammenhang steht, sei trotzdem nicht klar. Auch welcher Provider betroffen war, hat Bloomberg nicht erfahren. Was die Verantwortlichen genau in den Systemen wollten, sei ebenfalls nicht geklärt.

Dass es Angreifern gelungen ist, die Netzwerke von AT&T, Verizon, T-Mobile und anderen Providern zu kompromittieren, ist Anfang Oktober bekannt geworden. Der Gruppe ging es dabei offenbar um Informationsbeschaffung. Es handle sich um den "größten Telekommunikationshack in der US-Geschichte – und zwar mit Abstand", hat der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses schon im November gesagt. Eine dazu laufende Untersuchung wurde von der neuen US-Regierung unter Donald Trump im Januar abrupt gestoppt, als alle nicht vom Staat entsandten Mitglieder verschiedener Beratungsgremien entlassen wurden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

In der umfangreichen Virenschutz- und Backup-Software Acronis Cyber Protect hat der Hersteller mehrere, teils höchst kritische Sicherheitslücken entdeckt. Diese stopfen die Entwickler mit aktualisierter Software.

Angreifer können durch die Schwachstellen vertrauliche Daten abgreifen und manipulieren oder ihre Rechte im System ausweiten. Drei Schwachstellen stellen den schlimmstmöglichen Fall dar und erreichen die Höchstwertung CVSS 10 von 10 möglichen "Punkten". Details nennt Acronis keine, lediglich eine knappe Beschreibung. Einmal können Angreifer sensible Daten auslesen und verändern aufgrund unzureichender Authentifizierung (CVE-2025-30411 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Denselben Effekt hat eine fehlende Autorisierung (CVE-2025-30416 / noch kein EUVD, CVSS 10.0, Risiko "kritisch") sowie eine weitere unzureichende Authentifizierung (CVE-2025-30412 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Die Schwachstellen betreffen Acronis Cyber Protect 16 für Linux und Windows vor der Build-Nummer 39938.

Aufgrund einer weiteren fehlenden Authentifizierung gelingen unbefugte Zugriffe und potenzielle Manipulationen von sensiblen Daten neben der älteren vorgenannten Acronis-Cyber-Protect-16-Builds auch unter Linux und zudem im Acronis Cyber Protect Cloud Agent für Linux, macOS und Windows vor Build 39870 (CVE-2025-30410 / kein EUVD, CVSS 9.8, Risiko "kritisch"). In Acronis Cyber Protect 16 für Windows vor dem Build 39938 klafft zudem eine Sicherheitslücke, die Angreifern aufgrund von unsicheren Ordner-Berechtigungen ermöglicht, ihre Rechte im System auszuweiten (CVE-2025-48961 / EUVD-2025-16875, CVSS 7.3, Risiko "hoch").

Acronis Cyber Protect 16 für Linux, macOS und Windows nutzt vor Build 39938 außerdem einen schwachen Server Key für die TLS-Verschlüsselung (CVE-2025-48960 / EUVD-2025-16874, CVSS 5.9, Risiko "mittel"). Außer unter macOS können Angreifer darin zudem eine Server-Side-Request-Forgery (SSRF) zum Ausspähen sensibler Informationen missbrauchen (CVE-2025-48962 / EUVD-2025-16876, CVSS 4.3, Risiko "mittel").

Updates stehen seit etwa einem Monat in Form von Acronis Cyber Protect 16 Update 4 für Linux, macOS und Windows sowie Acronis Cyber Protect Cloud Agent Update C25.03 Hotfix 2 bereit. Wer Acronis einsetzt, sollte die Aktualisierungen zügig installieren, um die Angriffsfläche zu minimieren.

Eine kriminelle Gruppe, die Googles Threat Intelligence Group (GTIG) UNC6040 nennt – was nichts mit der SMD-Bauform mit 6 mal 4 mm Größe zu tun hat – und deren Aktivitäten die IT-Forscher beobachten, greift Salesforce-Nutzerinnen und -Nutzer an, um Daten zu stehlen und die betroffenen Unternehmen damit zu erpressen. Google beschreibt die Gruppierung dabei als opportunistisch und finanziell motiviert, mit Spezialisierung auf Vishing (Voice Phishing).

In der Analyse des GTIG schreiben die Autoren, dass UNC6040 Kampagnen speziell darauf auslegt, die Salesforce-Instanzen von Organisationen zu kompromittieren, um im großen Stil Daten abzugreifen und im Anschluss die Organisation zu erpressen. In den vergangenen Monaten sei die Gruppe mehrfach damit erfolgreich gewesen. Die Mitglieder gaben sich dabei bei Telefonanrufen als IT-Support-Personal aus und überzeugten Mitarbeiter mittels Social Engineering, ihnen Zugriff zu gewähren oder sensible Zugangsdaten zu überlassen – in allen beobachteten Fällen haben die Angreifer die Endnutzer manipuliert und keine etwaige Sicherheitslücke in Salesforce missbraucht. Im Visier stehen meist Mitarbeiter englischsprachiger Zweige von multinationalen Unternehmen.

Die Angreifer verleiten die Opfer dazu, eine bösartige Connected-App für das Salesforce-Portal ihres Unternehmens zu autorisieren. Bei einem Vishing-Anruf leiten die Täter die Opfer zu der Salesforce Connected-App-Setup-Seite, um eine Version der Data-Loader-App mit vom Original abweichenden Namen oder Branding zu legitimieren. Bei dieser Anwendung handelt es sich häufig um eine modifizierte Variante des Data Loader von Salesforce, die nicht von Salesforce autorisiert wurde. Das gibt der UNC6040-Gruppe schließlich umfassende Möglichkeiten, sensible Informationen direkt aus der kompromittierten Salesforce-Umgebung des Opfers zuzugreifen, abzufragen und auszuleiten.

Die Angreifer zeigen sich oftmals von ihrer geduldigen Seite. Teils vergingen Monate nach der Kompromittierung, bis der unbefugte Datenabzug erfolgte. Google schließt daraus, dass UNC6040 sich mit weiteren Bedrohungsakteuren zusammengeschlossen hat, um die erbeuteten Daten zu monetarisieren.

Die kriminelle Vereinigung nutzt Infrastruktur zum Zugriff auf Salesforce-Apps, die auch ein Okta-Phishing-Panel hostet. Bei den Anrufen haben die Täter die Opfer dazu verleitet, dieses mit ihrem Smartphone oder Arbeits-PC zu besuchen. Dabei haben sie direkt die Zugangsdaten und Multifaktor-Authentifizierungscodes der Opfer abgefragt, um sich anzumelden und die Salesforce-Data-Loader-App hinzuzufügen und damit die Daten zu exfiltrieren.

Broadcom warnt vor teils hochriskanten Sicherheitslücken in der Netzwerkvirtualisierungs- und Sicherheitsplattform VMware NSX. Angreifer können unter anderem Schadcode einschleusen und ausführen. IT-Verantwortliche sollten zügig auf die fehlerbereinigten Versionen aktualisieren.

In einer Sicherheitsmitteilung schreibt Broadcom, dass die Schwachstellen im Privaten an das Unternehmen gemeldet wurden. Aktive Angriffe darauf sind demnach noch nicht bekannt.

Am gravierendsten gilt dem Hersteller eine Stored Cross-Site-Scripting-Lücke (XSS) in der Manager-UI. Die kann aufgrund unzureichender Prüfung von übergebenen Daten auftreten. Angreifer mit Berechtigungen, Netzwerkeinstellungen zu erstellen oder zu modifizieren, können dadurch bösartigen Code einschleusen, der bei der Anzeige der Netzwerkeinstellungen zur Ausführung kommt (CVE-2025-22243 / EUVD-2025-16910, CVSS 7.5, Risiko "hoch").

In der Gateway Firewall können Angreifer ebenfalls eine Stored Cross-Site-Scripting-Lücke missbrauchen. Wenn sie Rechte besitzen, die Antwort-Seite für URL-Filterung zu erstellen oder zu verändern, können sie bösartigen Code einschleusen, der bei versuchtem Zugriff auf eine gefilterte Webseite ausgeführt wird (CVE-2025-22244 / EUVD-2025-16909, CVSS 6.9, Risiko "mittel"). Auch im Router-Port führt unzureichende Filterung von Eingaben dazu, dass Angreifer eine Stored Cross-Site-Scripting-Schwachstelle zum Einschleusen von Schadcode missbrauchen können, sofern sie Rechte zum Erstellen oder Verändern von Router-Ports haben. Der Code wird ausgeführt, sofern jemand versucht, auf den Router-Port zuzugreifen (CVE-2025-22245 / EUVD-2025-16908, CVSS 5.9, Risiko "mittel").

Die Schwachstellen korrigiert Broadcom in VMware NSX 4.2.2.1, 4.2.1.4 und 4.1.2.6 sowie in VMware Cloud Foundation 4.2.2.1 und 4.1.2.6. Für die verwundbaren VMware Telco Cloud Platform und Infrastructure nennt Broadcom Aktualisierungsmöglichkeiten in einem eigenen Knowledgebase-Artikel.

Apple ist mit seinem Passwort-Monitoring-Dienst von Java zu Swift und Vapor gewechselt und verkündet nun einen Performancegewinn von vierzig Prozent. Zusätzlich hat sich laut Apple die Skalierbarkeit, Sicherheit und Verfügbarkeit erhöht, die Zahl der Codezeilen hingegen um 85 Prozent verringert. Das unter Apache-Lizenz stehende Swift wurde 2014 von Apple selbst erfunden und seitdem weiterentwickelt.

Der Monitoring-Dienst gehört zu Apples Passwortmanager-App und prüft, ob Passwörter geleakt wurden, also zum Beispiel irgendwo im Darknet auftauchen (ähnlich wie Have I been Pwnd). Um die Sicherheit der anvertrauten Passwörter zu schützen, betreibt das Monitoring einen hohen Aufwand an Verschlüsselung, soll aber gleichzeitig schnell reagieren.

Swift verbraucht weniger Hardware-Ressourcen und verbessert die Performance.

Diesen Anforderungen wurde Java dem Apple-Team nicht mehr gerecht: "Der Ansatz zur Speicherverwaltung bei Java entspricht nicht mehr unseren wachsenden Anforderungen und Zielen für die Effizienz." Auch der verbesserte G1 Garbage Collector der JVM brachte dem Team nicht die gewünschte Performance. Probleme bereiteten insbesondere lange Pausen der Collectors unter hoher Last und die Schwierigkeiten des Finetunings für verschiedene Workloads. Garbage Collectors stehen wegen Engpässen immer wieder in der Kritik.

Auch beim schnellen Skalieren des Diensts unter wechselnder, regional bedingter Last sah das Apple-Team Mängel bei Java.

Der Streit über die Frage, wer den Chefankläger des Internationalen Strafgerichtshofs (IStGH), Karim Khan, von seinem Microsoft-basierten E-Mail-Konto abgekoppelt hat, geht weiter. Microsofts Präsident Brad Smith betonte am Mittwoch vor Journalisten, Microsoft habe seine Dienste für das Den Haager Gericht weder beendet noch ausgesetzt. Wörtlich sagte der 66-Jährige Berichten zufolge: Die von Microsoft ergriffenen Maßnahmen hätten "in keiner Weise die Einstellung der Dienste für den IStGH" umfasst. Zuvor hatte die Nachrichtenagentur AP gemeldet, Microsoft habe Khans E-Mail-Account aufgrund von Sanktionen gesperrt, die US-Präsident Donald Trump gegen den Gerichtshof verhängte.

Ein Microsoft-Sprecher erläuterte gegenüber heise online schon damals vage: "Seit Februar stehen wir während des gesamten Vorgangs, der zum Ausschluss des sanktionierten Beamten von den Microsoft-Diensten führte, mit dem IStGH in Kontakt." Der Konzern habe seine Services für das Gericht zu jeder Zeit aufrechterhalten. Auch Smith wollte sich nun aber nicht zu den genauen Umständen äußern, die zur Abschaltung von Khans E-Mail-Zugang führten. Der IStGH lehnte eine Stellungnahme ebenfalls ab. Laut der WirtschaftsWoche will Microsoft einen Weg aus der "Trump-Falle" gefunden haben. Der US-Konzern hoffe, Sanktionen des Republikaners erfüllen zu können, ohne Kundenkonten abzuschalten. Anwälte seien zu der Ansicht gelangt, dass Microsoft lediglich eine technische Plattform bereitstelle. Die Kunden müssten so selbst entscheiden, ob sie ihren Mitarbeitern Zugriff auf die Dienste gewährten. Microsoft werde in Szenarien wie dem IStGH-Fall nicht mehr eingreifen.

Die Open Source Business Alliance (OSBA) bezeichnete das Vorgehen von Microsoft "in diesem Kontext und dieser Auswirkung" im Mai als beispiellos. Die von den USA angeordneten und Microsoft mit umgesetzten Sanktionen gegen den Strafgerichtshof müssten "ein Weckruf für alle sein, die für die sichere Verfügbarkeit staatlicher und privater IT- und Kommunikationsinfrastrukturen verantwortlich sind". Auch Digitalstaatssekretär Thomas Jarzombek (CDU) unterstrich mit Blick auf den Fall, dass Deutschland seine Anstrengungen für digitale Souveränität erhöhen müsse. Bart Groothuis, ein niederländischer liberaler EU-Abgeordneter, drängt aus dem gleichen Grund auf die Schaffung einer unabhängigen europäischen Cloud. Er hob jüngst hervor: "Die Welt hat sich verändert."

Smith kündigte parallel in Berlin den Start eines "europäischen Sicherheitsprogramms" an. Damit werden "wir unser langjähriges Engagement zur Verteidigung von Europas Cybersicherheit ausweiten", erklärte der Manager. Microsoft setze damit von ihm unlängst in Brüssel vorgestellte "digitale Zusicherungen" um.

Konkret versprach Smith einen verstärkten Austausch von KI-basierten Bedrohungsinformationen mit europäischen Regierungen und zusätzliche Investitionen zur Stärkung von Cybersicherheitskapazitäten und Resilienz. Das Unternehmen will ferner Partnerschaften zur Abwehr von Cyberangriffen und zum Zerschlagen cyberkrimineller Netzwerke ausbauen.