Comretix Blog

China hat den USA Cyberangriffe auf eine zentrale staatliche Zeitbehörde vorgeworfen. Nach Angaben des Ministeriums für Staatssicherheit soll der US-Nachrichtendienst NSA seit März 2022 das Nationale Zeitdienstzentrum in Xi'an angegriffen haben.

Die Angriffe hätten über Sicherheitslücken in den Handys von Mitarbeitern begonnen, später seien auch Computer im Zentrum betroffen gewesen, hieß es in einer Mitteilung über den WeChat-Account des Ministeriums. Dabei soll zuerst eine Sicherheitslücke im Messaging-Dienst von Smartphones einer "ausländischen Marke" ausgenutzt worden sein, schreibt das Ministerium. Diese Marke nennt es jedoch nicht.

Danach sollen zwischen 2023 und 2024 monatelang über gestohlene Anmeldedaten weitere Teile der Zeit-Infrastruktur des Landes angegriffen worden sein. Der Mitteilung des Ministeriums zufolge kamen dabei verschiedenste Werkzeuge zum Einsatz, die über VPNs vor allem in westlichen Ländern betrieben wurden. Ob dies jedoch für eine klare Zuordnung eines Angreifers reicht, ist äußerst fraglich.

Das angegriffene Zentrum ist laut chinesischer Darstellung für die Bereitstellung und Verbreitung der offiziellen Zeit in China zuständig, die Grundlage für den Betrieb von Kommunikationsnetzen, Finanzsystemen und der Stromversorgung ist. Angriffe darauf könnten schwere Störungen verursachen, schreibt das Ministerium.

China hat trotz seiner Größe landesweit nur eine Zeitzone. Aus den USA gab es zunächst keine Reaktion auf die Anschuldigungen, auch nach Anfragen direkt bei der NSA am Wochenende, wie unter anderem Bloomberg berichtet. Beide Seiten werfen sich immer wieder Cyberangriffe vor.

Sotheby's ist bekannt für die Versteigerung hochkarätiger Kunst- und Luxusgegenstände – 2024 wurden insgesamt sechs Milliarden Euro bei Auktionen des Hauses ausgegeben. Nun machte es einen Cyberangriff publik, der sich bereits im Juli diesen Jahres ereignete. Dabei wurden laut dem Auktionshaus Namen, Sozialversicherungsnummern und Bankverbindungen entwendet. Einem Medienbericht zufolge handelt es sich dabei um Daten von Beschäftigten von Sotheby's.

Den Vorfall machte das Auktionshaus jetzt in einer Mitteilung an Maines Generalstaatsanwalt publik, was die örtlichen Gesetze in solchen Fällen vorsehen. Demnach sind zwei Einwohner des US-Bundesstaates Maine sowie, wörtlich, "rund zwei" Einwohner des Bundesstaates Rhode Island. Die genaue Anzahl von Betroffenen dürfte zu diesem Zeitpunkt noch unklar sein. Dem Tech-Portal Bleepingcomputer bestätigte Sotheby's, dass es sich dabei ausschließlich um Beschäftigte des Unternehmens handelt (Stand: 18. Oktober, 17:55 Uhr).

Passiert ist der Cyberangriff demnach am 24. Juli. Entdeckt wurde er jedoch erst am 24. September. Daraufhin habe Sotheby's die betroffenen Daten ausführlich untersucht, um zu klären, welche Daten genau von den Kriminellen erbeutet wurden und auf welche Personen sich die Daten beziehen. Sotheby's bietet den Personen, deren Kreditkarteninformationen erbeutet wurden an, die Kosten für 12-monatiges Monitoring ihrer Kredit- und Identitätsdaten bei einer Wirtschaftsauskunftei zu übernehmen. Die Akteure hinter dem Angriff sind zum jetzigen Zeitpunkt noch unbekannt.

Auch beim Auktionshaus Christie's wurden vor Kurzem Daten durch die Ransomware-Gruppe RansomHub abgegriffen. Die Kriminellen wollten Christie's zu einer Zahlung bewegen, das Auktionshaus weigerte sich jedoch. RansomHub informierte später auf einer eigenen Website, dass die Daten bei einer Auktion von einem anonymen Käufer für eine nicht genannte Summe ersteigert worden seien.

US-Präsident Donald Trump hat Zollvergünstigungen bei in den USA produzierten Autos mit importierten Bauteilen bis zum Jahr 2030 verlängert. Hersteller können dabei bis zu 3,75 Prozent vom Verkaufspreis ihrer Fahrzeuge erstattet bekommen. Die Maßnahme sollte ursprünglich 2027 auslaufen – und der Erstattungs-Anteil vom zweiten Jahr an auf 2,5 Prozent sinken.

Trump hatte die Zölle von 25 Prozent auf importierte Autos und Bauteile im Frühjahr verhängt. Der Präsident verkündete nun auch Zölle auf Importe von Lastwagen und Bussen in die USA. Bei Lastwagen und Bauteilen dafür liegt der Zoll bei 25 Prozent. Wie bei den Autos können Hersteller bis 2030 für in den USA gebaute Fahrzeuge 3,75 Prozent vom Verkaufspreis zurückbekommen. Trump verwies darauf, dass rund 43 Prozent der in den USA verkauften Lastwagen importiert seien. Bei Bussen wurde der Zoll auf zehn Prozent festgelegt.

Mit der Verlängerung der Vergünstigungen geht Trump auf Sorgen von US-Herstellern wie Ford und General Motors ein. Sie sahen vor allem in der Handelsvereinbarung mit Japan, die einen Zoll von 15 Prozent auf dort gebaute Fahrzeuge festlegte, einen problematischen Deal für die amerikanische Industrie. Denn bei in den USA montierten Fahrzeugen liegt der Anteil importierter Bauteile, auf die jedoch Zölle von 25 Prozent fällig werden können, bei 40 bis 50 Prozent.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Noch bis zum 1. Dezember 2025 können ambitionierte Hacker im Rahmen des erstmalig stattfindenden Wettbewerbs Zeroday Cloud (Eigenschreibweise: zeroday.cloud) ihren Exploit-Code einreichen.

Erfolgreichen Teilnehmern winken Preisgelder in Höhe von insgesamt rund 4,5 Millionen US-Dollar, verteilt auf mehr als 20 weitverbreitete Anwendungen, die auf verschiedene Arten eng mit Cloud-Technologien in Verbindung stehen. Dazu zählen etwa das Nvidia Container Toolkit, Kubernetes, Grafana, Docker, Apache Tomcat, PostgreSQL, Jenkins, Gitlab CE und der Linux-Kernel.

Wichtigste Bedingung des vom Cloudsicherheits-Unternehmen Wiz in Zusammenarbeit mit AWS (Amazon Web Services), Google und Microsoft veranstalteten Contests: Es muss sich um einen Zero-Day-Exploit, also einen Angriff auf eine neu entdeckte, bislang unbekannte Lücke handeln. Ferner muss der Angriff letztlich zur vollständigen Kompromittierung des verwundbaren Systems führen ("0-click unauthenticated Remote Code Execution").

Details und Fallstricke bei der Anmeldung

Die gesamte Liste möglicher Angriffsziele nebst Preisgeldern können Interessierte der Website des Zeroday Cloud-Wettbewerbs entnehmen. Dort findet man auch die genauen Teilnahmebedingungen, Anmeldeformulare und weitere Informationen. Vorkonfigurierte Zielsysteme zum Einbinden in Docker haben die Veranstalter in einem eigenen GitHub-Repository hinterlegt.

Teilnehmer, deren Beitrag von der Jury akzeptiert wird, haben die Gelegenheit, ihren Exploit im Rahmen der im Dezember in London stattfindenden Konferenz Black Hat Europe live zu demonstrieren. Gelingt dort der Angriff, haben sie gewonnen. Der betreffende Exploit wird anschließend im Zuge eines Responsible-Disclosure-Verfahrens an den betreffenden Hersteller übermittelt, um diesem ausreichend Zeit zum Schließen der Lücke zu geben.

Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat ihrem Verzeichnis bekannter, aktiver Exploits (Known Exploited Vulnerabilities Catalog) eine bereits seit Längerem bekannte Sicherheitslücke in Adobes Content-Management-Plattform Experience Manager (AEM) hinzugefügt.

Das CISA-Team habe beobachtet, dass die betreffende Lücke CVE-2025-54253 mit dem CVSS-Höchstwert 10.0 (kritisch) Ziel von Angriffen sei, heißt es in einem Sicherheitshinweis der Behörde.

Nähere Details etwa hinsichtlich spezifischer Angreifergruppen, Zielen oder Umfang der Attacken sind dem Hinweis nicht zu entnehmen. Bekannt ist aber, dass Angreifer Systeme durch das Ausführen beliebigen Schadcodes vollständig kompromittieren könnten (arbitrary code execution, arbitrary file system read).

Adobe hat die Sicherheitslücke bereits Anfang August dieses Jahres im Zuge des Notfallupdates Experience Manager Forms on JEE 6.5.0-0108 geschlossen. Verwundbar sind beziehungsweise waren Versionen bis einschließlich 6.5.23.0.

Admins, die das Update damals eingespielt haben, müssen nicht aktiv werden, da die betreffenden AEM-Installationen gegen die Exploits abgesichert sind. Alle anderen können dem zugehörigen Adobe Security Bulletin APSB25-82 nähere Details samt Update-Anleitung entnehmen.

Cisco und Ubiquiti haben Sicherheitsupdates veröffentlicht, die IP-Telefonie-Schwachstellen mit High-Einstufung schließen. Über aktive Angriffe ist bislang nichts bekannt. Dennoch sollten IT-Verantwortliche lieber drangehen und die verfügbaren Aktualisierungen einspielen.

Die von Cisco behobene Sicherheitslücke betrifft die Produktserien Desk Phone 9800, IP Phone 7800, IP Phone 8800 und Video Phone 8875. Ausdrücklich nicht verwundbar sind IP Phone 7800 und 8800-Serien, die auf der Cisco Multiplatform Firmware aufsetzen.

Erfolgreiche Angriffe via CVE-2025-20350 und CVE-2025-20351 aus der Ferne und ohne vorherige Authentifizierung könnten die Telefone per aufgezwungenem Neustart vorübergehend lahmlegen (Denial of Service, DoS). Außerdem sind Cross-Site-Scripting-Angriffe gegen Nutzer des grafischen Webinterfaces denkbar. Das Risiko bewertet Cisco als "hoch" (CVSS-Score 7.5).

Exploits sind laut Cisco nur dann möglich, wenn das jeweilige Telefon beim Cisco Unified Communications Manager angemeldet ist und der Web-Zugriff aktiviert ist. Per Default sei dies nicht der Fall.

Wie man den aktuellen Status der Web-Access-Funktion prüft, ist Ciscos Advisory zu den Lücken zu entnehmen. Dort findet man auch eine Übersicht über die gefixten Releases der von den Geräten genutzten Cisco SIP Software.

Microsoft hat eine Erweiterung der .NET Security Group angekündigt. Bisher lief diese als private Gruppe und war nur auf Einladung zugänglich. Nun können sich jedoch Unternehmen, die ihre eigene Distribution von .NET ausliefern, um eine Mitgliedschaft bewerben – und vom Vorteil profitieren, früher als die Öffentlichkeit von erkannten Sicherheitslücken zu erfahren und Patches zu erhalten.

Die .NET Security Group mit den aktuellen Mitgliedern Canonical, IBM, Red Hat und Microsoft existiert bereits seit 2016. Das von Microsoft geführte .NET-Projekt veröffentlicht an den meisten Monaten am Patch Tuesday Informationen zu bekannten Sicherheitslücken und Fixes – so auch diesen Monat. Mitglieder der .NET Security Group erfahren jedoch schon rund eine Woche früher von bekannten Bedrohungen und erhalten entsprechende Patches, sodass sie ihre Binary-Pakete zur gleichen Zeit wie Microsoft bauen, validieren und veröffentlichen können.

(Bild: coffeemill/123rf.com)

Kriminelle Hacker haben massenhaft persönliche Daten von Kunden des spanischen Modekonzerns Mango erbeutet. Ein externer Marketingdienstleister habe einen unbefugten Zugriff auf bestimmte personenbezogene Daten von Kunden festgestellt, heißt es in einer E-Mail an Betroffene, darunter auch Kundinnen und Kunden aus Deutschland.

Mango betonte, dass die eigenen Systeme nicht kompromittiert wurden und die Sicherheit normal funktioniert. Die Hacker verschafften sich bei dem externen Dienstleister einen Zugang zu Daten wie Vorname, Land, Postleitzahl, E-Mail-Adresse und Telefonnummer. Die Nachnamen, Bankdaten und Passwörter wurden nicht erbeutet.

Mango erklärte, man habe die spanische Datenschutzbehörde (AEPD) über die Situation informiert und sofort seine Sicherheitsprotokolle aktiviert. Das Unternehmen rät seinen Kunden, sowohl bei E-Mails als auch Telefonanrufen auf verdächtige Mitteilungen zu achten. Nach vergleichbaren Vorfällen haben Cyberkriminelle versucht, die Daten der Opfer für Phishing-Angriffe zu missbrauchen.

Phishing ist eine Betrugsmasche im Internet, bei der Kriminelle versuchen, sensible Daten wie Passwörter oder Bankinformationen zu stehlen, indem sie sich zum Beispiel per gefälschter E-Mail oder Website als eine vertrauenswürdige Person oder Institution ausgeben.

Das Datenleck bei Mango ist ein weiterer Vorfall in einer langen Reihe von Cyberangriffen auf Einzelhändler und Modeketten. Mango ist ein internationaler Modekonzern mit Hauptsitz in Plegamans nahe Barcelona. Das Unternehmen zählt zu den größten Anbietern von Damen- und Herrenmode sowie Accessoires weltweit.

In Episode 145 des c't-Datenschutz-Podcasts nehmen c't-Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich die Regulierung von Social-Media-Plattformen unter die Lupe. Als Gast haben sie sich den Rechtsanwalt und Social-Media-Experten Dr. Thomas Schwenke eingeladen. Schwenke, der gerade ein Buch zum Thema "Recht für Online-Marketing und KI" veröffentlicht hat, erklärt gleich zu Beginn: Der Begriff "Social Media" sei überholt. Plattformen wie TikTok oder Instagram entwickelten sich immer mehr zu "algorithmischen Medien", bei denen der passive Konsum von Inhalten im Vordergrund stehe, und nicht mehr der soziale Austausch.

Rechtsanwalt Thomas Schwenke hat gut Lachen in der Aufzeichnung der Auslegungssache.

Hauptthema der Diskussion ist die Regulierungswelle der EU, die mit Gesetzen wie dem Digital Services Act (DSA) und dem Digital Markets Act (DMA) versucht, die Macht der Tech-Konzerne zu begrenzen. Ein aktuelles Beispiel ist die neue Verordnung zur Transparenz politischer Werbung (TT-Verordnung). Sie schränkt das gezielte Ausspielen von Werbung, das sogenannte Microtargeting, stark ein. Die Reaktion der Konzerne ließ nicht lange auf sich warten: Sowohl Meta als auch Google kündigten an, wegen der neuen, komplexen Regeln künftig keine politische Werbung mehr in der EU schalten zu wollen.

Die Experten sind sich uneins, wie wirksam diese vielen EU-Gesetze wirklich sind. Während Bleich argumentiert, dass die EU die Konzerne durchaus zum Handeln zwingt – etwa bei der Einholung von Einwilligungen oder der Anpassung ihrer Bezahlmodelle –, bleiben Schwenke und Heidrich skeptisch. Sie kritisieren, dass viele Nutzer mit den komplexen Einwilligungs-Bannern überfordert seien und dass das Geschäftsmodell des Trackings im Kern unangetastet bleibe.

Besonders ernüchternd fällt die Bilanz bei den viel beworbenen Schadensersatzklagen gegen Meta aus. Bleich zitiert Zahlen, die der ehemalige baden-württembergische Datenschutzbeauftragte Stefan Brink in einem anderen Podcast teilte: Von rund 2200 Klagen wegen der Business Tools von Meta wurden demnach 70 Prozent komplett zugunsten des Konzerns entschieden. In 97 Prozent der Fälle lag der zugesprochene Schadensersatz bei maximal 500 Euro. Die medienwirksamen Urteile mit hohen Schadensersatzzahlungen seien absolute Ausnahmen.

Admins von Samba Active Directory (AD)-Domänencontrollern, die auf von ihnen betreuten Servern den Support für WINS (Windows Internet Name Service) aktiviert und zusätzlich den "wins hook"-Parameter gesetzt haben, sollten zügig handeln: In der freien Implementierung des SMB-Protokolls klafft eine kritische Lücke mit CVSS-Höchstwertung 10.0 "Critical", die auf eben diese Nicht-Default-Konfiguration abzielt.

Verwundbar sind bei entsprechender Konfiguration alle Samba-Versionen seit 4.0. Die Entwickler haben Patches (Samba 4.23.2, 4.22.5 und 4.21.9) bereitgestellt und einen Workaround veröffentlicht.

Alle Lücken-Details schlüsselt das Samba-Advisory zu CVE-2025-10230 auf; die Patches können von der Security-Release-Site heruntergeladen werden.

Laut Samba-Entwicklern fußt die Sicherheitslücke auf mangelhaften Validierungsmechanismen des veralteten WINS-Protokolls zur zentralen Namensauflösung in lokalen Netzwerken. Clients, die ihre Namen beim Server registrierten, konnten dabei offenbar freie Namenswahl betreiben ("clients can request any name that fits within the 15 character NetBIOS limit") und auch Shell-Metazeichen übermitteln.

Auf diese Weise wäre es unauthentifizierten Angreifern schlimmstenfalls möglich gewesen, aus der Ferne schädliche Befehle abzusetzen und Code auszuführen (Remote Code Execution).

Admins von Samba Active Directory (AD)-Domänencontrollern, die auf von ihnen betreuten Servern den Support für WINS (Windows Internet Name Service) aktiviert und zusätzlich den "wins hook"-Parameter gesetzt haben, sollten zügig handeln: In der freien Implementierung des SMB-Protokolls klafft eine kritische Lücke mit CVSS-Höchstwertung 10.0 "Critical", die auf eben diese Nicht-Default-Konfiguration abzielt.

Verwundbar sind bei entsprechender Konfiguration alle Samba-Versionen seit 4.0. Die Entwickler haben Patches (Samba 4.23.2, 4.22.5 und 4.21.9) bereitgestellt und einen Workaround veröffentlicht.

Alle Lücken-Details schlüsselt das Samba-Advisory zu CVE-2025-10230 auf; die Patches können von der Security-Release-Site heruntergeladen werden.

Laut Samba-Entwicklern fußt die Sicherheitslücke auf mangelhaften Validierungsmechanismen des veralteten WINS-Protokolls zur zentralen Namensauflösung in lokalen Netzwerken. Clients, die ihre Namen beim Server registrierten, konnten dabei offenbar freie Namenswahl betreiben ("clients can request any name that fits within the 15 character NetBIOS limit") und auch Shell-Metazeichen übermitteln.

Auf diese Weise wäre es unauthentifizierten Angreifern schlimmstenfalls möglich gewesen, aus der Ferne schädliche Befehle abzusetzen und Code auszuführen (Remote Code Execution).

Die Maintainer von Tails haben dem anonymisierenden Linux-Livesystem eine Aktualisierung spendiert.

Nachdem das vor rund einem Monat erschienene Tails 7.0 umfangreiche Neuerungen – darunter ein Upgrade auf Debian 13, Änderungen an der GNOME-Desktopumgebung und neue Tools – mitbrachte, sind die Neuerungen in Version 7.1 eher überschaubar. Gemäß der Ausrichtung des Linux-OS auf Anonymität und Privatsphäre sollten sicherheitsorientierte Nutzer dennoch nicht versäumen, verfügbare Upgrades zeitnah durchzuführen.

Laut Release-Informationen zu Tails 7.1 hat die neue Version Thunderbird in der ESR (Extended Support Release)-Fassung 140.3.0 an Bord. Den integrierten Tor Browser haben die Entwickler auf die vergangene Woche veröffentlichte Version 14.5.8 angehoben, der Tor Client kommt in Version 0.4.8.19.

Tails 7.1: Der Tor-Browser zeigt beim Öffnen künftig diese Startseite an.

(Bild: tails.net)

Die Maintainer von Tails haben dem anonymisierenden Linux-Livesystem eine Aktualisierung spendiert.

Nachdem das vor rund einem Monat erschienene Tails 7.0 umfangreiche Neuerungen – darunter ein Upgrade auf Debian 13, Änderungen an der GNOME-Desktopumgebung und neue Tools – mitbrachte, sind die Neuerungen in Version 7.1 eher überschaubar. Gemäß der Ausrichtung des Linux-OS auf Anonymität und Privatsphäre sollten sicherheitsorientierte Nutzer dennoch nicht versäumen, verfügbare Upgrades zeitnah durchzuführen.

Laut Release-Informationen zu Tails 7.1 hat die neue Version Thunderbird in der ESR (Extended Support Release)-Fassung 140.3.0 an Bord. Den integrierten Tor Browser haben die Entwickler auf die vergangene Woche veröffentlichte Version 14.5.8 angehoben, der Tor Client kommt in Version 0.4.8.19.

Tails 7.1: Der Tor-Browser zeigt beim Öffnen künftig diese Startseite an.

(Bild: tails.net)

Nach mehreren großangelegten Angriffswellen auf das NPM-Ökosystem ergreifen dessen Betreiber nun Maßnahmen, um eine Wiederholung zu verhindern. Im August und September hatten Unbekannte nicht nur mehrere Entwicklerkonten übernommen, sondern auch einen Wurm eingeschleust, der selbstständig weitere Node-Projekte infizierte. Um sich zu verbreiten, nutzte "Shai-Hulud" Authentifizierungs-Token, denen es jetzt an den Kragen geht.

Die ersten Schritte ist NPM-Betreiber GitHub bereits gegangen – seit dem 13. Oktober sind granulare NPM-Zugriffstoken nicht mehr unbegrenzt lange, sondern nur noch maximal 90 Tage gültig, die Standardlaufzeit beträgt nun 7 statt 30 Tage. Eine Zwei-Faktor-Authentifizierung mittels TOTP (Time-based One-Time Password) kann für NPM-Paketverwalter nicht mehr neu eingerichtet werde. Wer TOTP bereits als zweiten Faktor zur Anmeldung nutzt, kann dabei vorerst bleiben, wird aber bald auf WebAuthn/Passkeys umstellen müssen.

Die sogenannten "Classic Tokens" zur Authentifizierung (etwa in Automatisierungen oder CI/CD Pipelines) trägt GitHub bis Anfang November vollständig zu Grabe. Bestehende Token für NPM-Paketherausgeber zieht das Unternehmen ein und auf npmjs.com lassen sich künftig keine neuen mehr erstellen. Betroffene müssen sich umgehend um neue, granulare Token kümmern und ihre Automatisierungen aktualisieren, damit diese nach der Umstellung nicht vor die sprichwörtliche Wand laufen.

Mit diesen Schritten setzt GitHub eine Ankündigung aus Ende September teilweise in die Tat um – Entwickler und DevOps sind gefordert. Deren Verantwortung unterstreicht GitHub ausdrücklich: "Wir verstehen, dass diese Änderungen Aufwand von der Gemeinschaft verlangen. NPM abzusichern, ist eine geteilte Verantwortlichkeit." Die Änderungen verursachten vorübergehend Reibungen, seien aber notwendig, um künftigen Angriffen begegnen zu können.

Und gegenüber der September-Ankündigung tritt die zu Microsoft gehörende Entwicklerplattform sogar noch etwas mehr aufs Gaspedal: War dort noch von Mitte November als Löschzeitpunkt für "Classic Tokens" die Rede, spricht GitHub in einer an Entwickler verschickten E-Mail von Anfang desselben Monats. Kurios: Obgleich erste Schritte bereits am Montag, dem 13. Oktober starteten, erhielten einige npm-Paketverantwortliche den Newsletter erst drei Tage später.

Nach mehreren großangelegten Angriffswellen auf das NPM-Ökosystem ergreifen dessen Betreiber nun Maßnahmen, um eine Wiederholung zu verhindern. Im August und September hatten Unbekannte nicht nur mehrere Entwicklerkonten übernommen, sondern auch einen Wurm eingeschleust, der selbstständig weitere Node-Projekte infizierte. Um sich zu verbreiten, nutzte "Shai-Hulud" Authentifizierungs-Token, denen es jetzt an den Kragen geht.

Die ersten Schritte ist NPM-Betreiber GitHub bereits gegangen – seit dem 13. Oktober sind granulare NPM-Zugriffstoken nicht mehr unbegrenzt lange, sondern nur noch maximal 90 Tage gültig, die Standardlaufzeit beträgt nun 7 statt 30 Tage. Eine Zwei-Faktor-Authentifizierung mittels TOTP (Time-based One-Time Password) kann für NPM-Paketverwalter nicht mehr neu eingerichtet werde. Wer TOTP bereits als zweiten Faktor zur Anmeldung nutzt, kann dabei vorerst bleiben, wird aber bald auf WebAuthn/Passkeys umstellen müssen.

Die sogenannten "Classic Tokens" zur Authentifizierung (etwa in Automatisierungen oder CI/CD Pipelines) trägt GitHub bis Anfang November vollständig zu Grabe. Bestehende Token für NPM-Paketherausgeber zieht das Unternehmen ein und auf npmjs.com lassen sich künftig keine neuen mehr erstellen. Betroffene müssen sich umgehend um neue, granulare Token kümmern und ihre Automatisierungen aktualisieren, damit diese nach der Umstellung nicht vor die sprichwörtliche Wand laufen.

Mit diesen Schritten setzt GitHub eine Ankündigung aus Ende September teilweise in die Tat um – Entwickler und DevOps sind gefordert. Deren Verantwortung unterstreicht GitHub ausdrücklich: "Wir verstehen, dass diese Änderungen Aufwand von der Gemeinschaft verlangen. NPM abzusichern, ist eine geteilte Verantwortlichkeit." Die Änderungen verursachten vorübergehend Reibungen, seien aber notwendig, um künftigen Angriffen begegnen zu können.

Und gegenüber der September-Ankündigung tritt die zu Microsoft gehörende Entwicklerplattform sogar noch etwas mehr aufs Gaspedal: War dort noch von Mitte November als Löschzeitpunkt für "Classic Tokens" die Rede, spricht GitHub in einer an Entwickler verschickten E-Mail von Anfang desselben Monats. Kurios: Obgleich erste Schritte bereits am Montag, dem 13. Oktober starteten, erhielten einige npm-Paketverantwortliche den Newsletter erst drei Tage später.

Sowohl für Mozillas Firefox und Thunderbird als auch für Googles Chrome-Browser gibt es Aktualisierungen. Kritische Schwachstellen wurden nicht geschlossen – wohl aber einige Lücken mit "High"-Einstufung, die Cybergangster ausnutzen könnten.

Bislang wurde derlei bei den aktuellen Lücken noch nicht beobachtet; dennoch ist baldiges Updaten ratsamer, als es darauf ankommen zu lassen. Bei aktivierter Updatefunktion passiert das in der Regel automatisch. Die neue Firefox-Version 144 steht zudem auch auf der zugehörigen Ankündigungsseite zum Download bereit.

Die neuen Stable-Channel-Versionen 141.0.7390.107/.108 für Windows und macOS sowie 141.0.7390.107 für Linux beheben eine Chrome-Sicherheitslücke, von der laut Google ein hohes Risiko ausgeht. Auch die Chrome-Fassung für Android war vor der neuen, abgesicherten Fassung 141.0.7390.111 von der Lücke betroffen.

Die betreffende Lücke CVE-2025-11756 ("High") steckt im Safe-Browsing-Feature. Es handelt sich um eine Use-after-free-Schwachstelle, bei der freigegebener Speicher unzulässigerweise weitergenutzt wird. Weitere Details verrät Googles Ankündigung zum Stable Channel Update aber nicht.

Wer tiefer in technische Interna einsteigen möchte, kann das Changelog der Chromium-Codebasis studieren.

Sowohl für Mozillas Firefox und Thunderbird als auch für Googles Chrome-Browser gibt es Aktualisierungen. Kritische Schwachstellen wurden nicht geschlossen – wohl aber einige Lücken mit "High"-Einstufung, die Cybergangster ausnutzen könnten.

Bislang wurde derlei bei den aktuellen Lücken noch nicht beobachtet; dennoch ist baldiges Updaten ratsamer, als es darauf ankommen zu lassen. Bei aktivierter Updatefunktion passiert das in der Regel automatisch. Die neue Firefox-Version 144 steht zudem auch auf der zugehörigen Ankündigungsseite zum Download bereit.

Die neuen Stable-Channel-Versionen 141.0.7390.107/.108 für Windows und macOS sowie 141.0.7390.107 für Linux beheben eine Chrome-Sicherheitslücke, von der laut Google ein hohes Risiko ausgeht. Auch die Chrome-Fassung für Android war vor der neuen, abgesicherten Fassung 141.0.7390.111 von der Lücke betroffen.

Die betreffende Lücke CVE-2025-11756 ("High") steckt im Safe-Browsing-Feature. Es handelt sich um eine Use-after-free-Schwachstelle, bei der freigegebener Speicher unzulässigerweise weitergenutzt wird. Weitere Details verrät Googles Ankündigung zum Stable Channel Update aber nicht.

Wer tiefer in technische Interna einsteigen möchte, kann das Changelog der Chromium-Codebasis studieren.

Der Netzwerkanbieter F5 sieht sich mit einem Datenleck konfrontiert, das offenbar lange Zeit bestand und bei dem Quellcode und bisher unveröffentlichte Sicherheitslücken abhandenkamen. Dutzende Flicken für seine BIG-IP-Appliance und andere Produkte müssen Admins nun dringend einspielen, sonst drohen weitere Einbrüche. Das veranlasst auch die US-Cybersicherheitsbehörde CISA und ihr britisches Gegenstück zu einer dringenden Warnung.

Wie die Angreifer ins F5-Netzwerk eingedrungen sind, lässt der Hersteller im Unklaren, doch haben die Nachforschungen einen Datenabfluss bestätigt. So sei Quellcode für BIG-IP in unbefugte Hände gelangt, gemeinsam mit Informationen über bekannte, aber zum Zeitpunkt des Angriffs noch nicht behobene Sicherheitslücken niedrigen, mittleren und hohen Schweregrads. Die sind für Exploit-Entwickler ein gefundenes Fressen – sie dürften sich unmittelbar an die Arbeit gemacht und Malware auf die Lücken maßgeschneidert haben. Ebenso fatal: Für einige F5-Kunden waren in den angegriffenen Systemen spezifische Konfigurations- und Implementierungshinweise hinterlegt, die dann für gezielte Attacken missbraucht werden können.

F5 legt Wert auf die Feststellung, dass weder Sicherheitslücken kritischen Schweregrads noch solche mit Möglichkeiten zur Codeausführung (RCE) in die Hände der Angreifer gelangt seien. Ein schwacher Trost, denn: Mit dem erbeuteten Quellcode könnten diese gezielt nach solchen Lücken suchen. Immerhin: Der oder die Angreifer hatten offenbar keinen Zugriff auf die Entwicklungs-Infrastruktur für den Webserver NGINX, der seit sechs Jahren zu F5 gehört. Und Kunden-, Finanz- oder Supportdatenbanken blieben nach Erkenntnissen des Herstellers ebenfalls verschont.

Die Software-Supply-Chain und der Buildprozess seien hingegen nicht betroffen, hätte eine Untersuchung gemeinsam mit den Sicherheitsspezialisten der NCC Group und IOActive ergeben. Die Aussage passt jedoch nicht so recht zu einem weiteren Beutestück. Denn offenbar gerieten die zur Software- und Image-Signatur verwendeten Schlüssel ebenfalls in die Hände der Angreifer, denn der Hersteller hat die privaten Schlüssel und Zertifikate ausgetauscht.

Wie F5 in einem Support-Artikel erklärt, sind dadurch ältere Versionen nicht mehr in der Lage, die mit den neueren Schlüsseln signierten Versionen zu verifizieren, was sich auf Installationen, Updates und das Ausrollen virtueller Maschinen auswirken könnte.

Der Netzwerkanbieter F5 sieht sich mit einem Datenleck konfrontiert, das offenbar lange Zeit bestand und bei dem Quellcode und bisher unveröffentlichte Sicherheitslücken abhandenkamen. Dutzende Flicken für seine BIG-IP-Appliance und andere Produkte müssen Admins nun dringend einspielen, sonst drohen weitere Einbrüche. Das veranlasst auch die US-Cybersicherheitsbehörde CISA und ihr britisches Gegenstück zu einer dringenden Warnung.

Wie die Angreifer ins F5-Netzwerk eingedrungen sind, lässt der Hersteller im Unklaren, doch haben die Nachforschungen einen Datenabfluss bestätigt. So sei Quellcode für BIG-IP in unbefugte Hände gelangt, gemeinsam mit Informationen über bekannte, aber zum Zeitpunkt des Angriffs noch nicht behobene Sicherheitslücken niedrigen, mittleren und hohen Schweregrads. Die sind für Exploit-Entwickler ein gefundenes Fressen – sie dürften sich unmittelbar an die Arbeit gemacht und Malware auf die Lücken maßgeschneidert haben. Ebenso fatal: Für einige F5-Kunden waren in den angegriffenen Systemen spezifische Konfigurations- und Implementierungshinweise hinterlegt, die dann für gezielte Attacken missbraucht werden können.

F5 legt Wert auf die Feststellung, dass weder Sicherheitslücken kritischen Schweregrads noch solche mit Möglichkeiten zur Codeausführung (RCE) in die Hände der Angreifer gelangt seien. Ein schwacher Trost, denn: Mit dem erbeuteten Quellcode könnten diese gezielt nach solchen Lücken suchen. Immerhin: Der oder die Angreifer hatten offenbar keinen Zugriff auf die Entwicklungs-Infrastruktur für den Webserver NGINX, der seit sechs Jahren zu F5 gehört. Und Kunden-, Finanz- oder Supportdatenbanken blieben nach Erkenntnissen des Herstellers ebenfalls verschont.

Die Software-Supply-Chain und der Buildprozess seien hingegen nicht betroffen, hätte eine Untersuchung gemeinsam mit den Sicherheitsspezialisten der NCC Group und IOActive ergeben. Die Aussage passt jedoch nicht so recht zu einem weiteren Beutestück. Denn offenbar gerieten die zur Software- und Image-Signatur verwendeten Schlüssel ebenfalls in die Hände der Angreifer, denn der Hersteller hat die privaten Schlüssel und Zertifikate ausgetauscht.

Wie F5 in einem Support-Artikel erklärt, sind dadurch ältere Versionen nicht mehr in der Lage, die mit den neueren Schlüsseln signierten Versionen zu verifizieren, was sich auf Installationen, Updates und das Ausrollen virtueller Maschinen auswirken könnte.

SMS-Nachrichten abfangen und so WhatsApp-Konten übernehmen? Genaue Bewegungsprofile beliebiger Ziele im In- und Ausland? Anrufe abhören und Daten umleiten? All das ermöglichte das Unternehmen "First Wap International" wohl seinen Kunden, wie eine gemeinsame Recherche von zahlreichen Medien – darunter der Spiegel und das ZDF – unter Federführung des Recherchekollektivs Lighthouse Reports ergab. Das Produkt mit dem mystischen Namen "Altamides" nutzte das SS7-Protokoll (Signalling System 7), um sich in Mobilfunknetze einzuklinken. Alles nur ein Missverständnis, wiegelt das indonesisch-österreichische Unternehmen ab, doch die Fallzahlen gehen in die Tausende.

Auf der Spionage- und Sicherheitsmesse "ISS World" präsentierte sich das Unternehmen – Eigenschreibweise "1stWAP" – mit einem eigenen Stand. Der offensichtlich KI-generierte Standhintergrund stilisiert eine Hand, die nach Daten greift – davor führt der österreichische Vertriebsdirektor Günther R. ein offenes Gespräch mit einem Interessenten. Der direkte Zugriff auf Mobilgeräte, den der angeblich im Auftrag eines westafrikanischen Bergbauunternehmers Anfragende im Sinn hat, sei zu teuer, koste oft Zehntausende. Er sollte seine Vorgehensweise überdenken.

Dann kommt "Altamides" ins Spiel. Das Produkt des Unternehmens – der Name stammt nicht aus dem griechischen Pantheon, sondern steht für "Advanced Location Tracking and Deception System" – könne etwa selektiv Nachrichten wie OTP-Codes ausleiten und so die Übernahme beliebiger Messengerkonten erleichtern. Möglich sei das über Zugriff auf das sogenannte SS7-Netzwerk, mit dem sich Telefonnetzbetreiber weltweit miteinander verbinden. Man sei vermutlich das einzige Unternehmen, das mithilfe dieser Technologie das Vorhaben des Interessenten umsetzen könne. Der wollte nämlich im Auftrag eines unter internationalen Sanktionen stehenden Minenunternehmers Umweltschützer überwachen lassen, erklärte er den First-Wap-Vertrieblern.

Doch das war nur eine Legende, erdacht von einem internationalen Team investigativer Journalisten. Das war First Wap durch eine Sammlung von mehr als einer Million Überwachungsdatensätzen auf die Spur gekommen, mit mehr als 14.000 Betroffenen weltweit. Die meisten Überwachungsvorgänge datierten in die Frühzeit der Smartphone-Ära zwischen 2007 und 2014, doch First Wap ist noch immer aktiv. Auch interne E-Mails und Dokumente des Unternehmens fielen den Reportern in die Hände und zeigten: First Wap arbeitete offenbar mit autoritären Staaten und Auftraggebern aus der Industrie zusammen. Das widerspricht dem allgemeinen Narrativ der verschwiegenen Branche, das lautet: Nur zur Bekämpfung schwerer Kriminalität und ausschließlich für Regierungen stünden die Überwachungswerkzeuge zur Verfügung, in der Vergangenheit ans Licht gekommener Missbrauch sei eine unrühmliche Ausnahme.

Doch "Abdou", der Auftraggeber aus dem westafrikanischen Niger, ist von den Technologie-Exportbeschränkungen gegen das Land betroffen, daher schlug der umtriebige Vertriebsdirektor den Undercover-Journalisten einen Kunstgriff vor. Bei derlei Geschäften, so der Österreicher, müsse er Vorsicht walten lassen, um nicht im Gefängnis zu landen. Daher könne man den Deal über die indonesische Hauptstelle abwickeln, der aus Indien stammende Geschäftsführer unterliege nicht denselben Beschränkungen und könne alles abzeichnen.