Comretix Blog

Angreifer können unter bestimmten Bedingungen an einer Sicherheitslücke in VMware Tanzu Spring Boot ansetzen und sich unrechtmäßigen Zugriff verschaffen. Mittlerweile haben die Entwickler die Schwachstelle geschlossen.

Softwareentwickler nutzen Spring Boot zum effizienteren Erstellen von Java-Applikationen. Damit Angreifer an der Lücke (CVE-2025-22235 „hoch“) ansetzen zu können, müssen aber mehrere Voraussetzungen erfüllt sein. Unter anderem muss Spring Security eingesetzt werden und mit EndpointRequest.to () konfiguriert sein.

Ist das gegeben, können Angreifer die Schwachstelle ausnutzen. Wie so ein Angriff ablaufen könnte, ist bislang unklar. In der Warnmeldung gibt es keine Hinweise, dass es bereits Attacken gibt. Admins sollten aber nicht zu lange mit der Installation des Sicherheitsupdates warten. Folgende Versionen sind den Entwicklern zufolge gegen den geschilderten Angriff gerüstet. Alle vorigen Aussagen sollen verwundbar sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Eine von Android Authority in der Android 16 Beta 4 entdeckte Funktion ist Teil einer optionalen neuen Schutzfunktion, mit der ein gezielter Angriff auf gesperrte Smartphones über den USB-Anschluss verhindert werden soll. Die Funktion dürfte sich vor allem an Nutzer und Nutzerinnen wie Journalisten oder Aktivisten richten, die auf ihren Smartphones besonders sensible Daten speichern und ins Visier von Hackern geraten könnten.

Mit der erweiterten Sicherheitsfunktion können bösartige Akteure USB-Peripheriegeräte wie Tastaturen nicht mehr mit dem gesperrten Smartphone verbinden, um die Sicherheitssperre etwa mittels Brute-Force-Angriff zu überwinden. Dieses Szenario ist nicht nur theoretischer Natur: Das Security Lab von Amnesty International hat im Februar 2025 eine Zero-Day-USB-Treiberlücke dokumentiert, die dazu verwendet wurde, in das Android-Smartphone eines Aktivisten in Serbien einzudringen.

Wie im eingebundenen Video demonstriert wird, ist es nicht möglich, Peripheriegeräte wie ein Keyboard mit aktiviertem Schutz mit dem Smartphone zu verbinden. Eine Benachrichtigung erklärt, dass das externe Keyboard erst dann verbunden werden kann, wenn das Gerät entsperrt wird.

Samsungs Android-Smartphones speichern in der Zwischenablage kopierte Inhalte. Im Zwischenablageverlauf finden sich gelegentlich auch alte, kopierte Passwörter. Samsung evaluiert das Problem derzeit.

Inzwischen macht der Fall eines besorgten Samsung-Nutzers in den Medien die Runde – das grundlegende Problem ist jedoch schon seit Jahren vorhanden. Wir haben kürzlich auch einen Leserhinweis mit dieser Beobachtung erhalten und können das nachvollziehen: Etwa im Verlauf des Samsung-Android-Keyboards tauchen auch Passwörter auf, die beispielsweise aus einem Passwort-Manager kopiert wurden.

Im Verlauf der Samsung-Zwischenablage finden sich alte Passwort-Einträge, wenn diese etwa mit einem Passwort-Manager zum späteren Einfügen in eine Webseite oder App kopiert wurden.

(Bild: Screenshot / dmk)

Das Problem lässt sich reproduzieren, indem Interessierte etwa bei Texteingaben das Symbol für die Zwischenablage antippen. Das zeigt einen Verlauf der Einträge an, der ziemlich weit zurückreichen kann. Da die Zwischenablage auch die Datenherkunft offensichtlich nicht berücksichtigt, können das auch sensible Daten wie Passwörter aus dem Passwort-Manager sein.

Windows verteilt die April-Update-Vorschauen für Windows 11 in den Fassungen 23H2 und 22H2 sowie für Windows 10 22H2. Wer das aktuelle Windows 11 24H2 einsetzt, guckt vorerst in die Röhre. Die Updates bringen nur kleinere Verbesserungen mit.

Microsoft nennt die Update-Vorschauen "nicht-Sicherheits-Updates", bringt jedoch die sicherheitsrelevante "Windows Kernel Vulnerable Driver Blocklist" sowohl in Windows 11, als auch in Windows 10 auf einen neueren Stand. Die dient dazu, Angriffe abzuwehren, bei denen Kriminelle eigene Treiber in verwundbaren Versionen mitbringen (BYOVD) – einmal auf der Liste gelandet, verweigert der Windows-Kernel das Laden dieser Treiber.

Das Öffnen von Excel-Dateien, die auf SMB-Freigaben liegen und Links auf andere Excel-Dateien enthalten, öffnet Windows 11 nach der Aktualisierung schneller. Im Zusammenspiel von Intel Core Ulta-Prozessoren der 200V-Baureihe löst das Update zudem Probleme mit dem USBxHCI-Controller, wodurch unter anderem die Anmeldung mit integrierten USB-Kameras in Windows Hello nicht funktionierte. Gamer profitieren davon, dass nun Xbox-Elite-Wireless-Controller mit bestimmten Firmware-Versionen wieder funktionieren.

Schrittweise verteilt Microsoft mit dem Update KB5055629 (Windows-Builds 22621.5262 und 22631.5262) dann Änderungen etwa für den Datei-Explorer, der auf "Explorer Home" eine Zusammenstellung von Microsoft-365-Inhalten anzeigt – das soll die Produktivität erhöhen. Das Entpacken von ZIP-Dateien soll schneller werden, insbesondere, wenn die Archive viele kleine Dateien enthalten. Mit neuen Tastenkombinationen soll sich die Sprachausgabe besser nutzen lassen, etwa eine "sprachbezogene Zusammenfassung" gesprochener Inhalte erhalten oder Live-Transkription verfolgen.

Die verbesserte Integration mit Smartphone-Link landet damit nun in den Windows-Release-Fassungen, sodass sich aus dem Startmenü etwa Telefonanrufe starten, SMS-Nachrichten senden, auf Fotos zugreifen oder Inhalte zwischen Desktop und Smartphone teilen lassen. Eine weitere Erleichterung verspricht die neue Option, "Last Minute" vor dem Teilen von Inhalten auf dem "Share Sheet" Änderungen vorzunehmen, etwa Drehungen oder Zuschneiden von Bildern.

Die Remote-Desktop-Software Screenconnect von Connectwise enthält eine Sicherheitslücke, die Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht. Der Hersteller bietet Software-Updates zum Schließen des Sicherheitslecks an.

In einer Sicherheitsmitteilung warnt Connectwise vor der Schwachstelle. Ein CVE-Schwachstelleneintrag fehlt bislang, aber die Beschreibung lautet, dass eine sogenannte ViewState-Code-Injection-Schwachstelle Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht; die Risikobewertung liefert einen CVSS-Wert von 8.8, Risiko "hoch", und verpasst die Einstufung als kritisch somit nur knapp. Web-Forms in ASP.NET nutzen ViewState für das Speichern und Kontrollieren des Zustands einer Webseite. Die dafür nötigen Daten kodiert das System mit Base64 und schützt es mit Verschlüsselung mit maschinenweiten Keys.

Um an diese Maschinen-Keys zu gelangen, müssen Angreifer zunächst erhöhte Zugriffsrechte erlangen, erklärt Connectwise weiter. Sofern die Maschinen-Keys kompromittiert sind, können Angreifer bösartige ViewStates für die Webseite generieren und damit Schadcode aus dem Netz auf dem Server ausführen.

Das Update auf Screenconnect 25.2.4 oder neuer stopft das Sicherheitsleck, es ist etwa auf der Download-Seite von Connectwise verfügbar. Es deaktiviert ViewState schlicht und entfernt die Abhängigkeiten davon. Die Sicherheitsmeldung liefert noch weitere Hinweise, etwa zur Versionsprüfung oder wie die Aktualisierung von On-Premises-Systemen mit und ohne aktiver Maintenance ablaufen. IT-Verantwortliche sollten aufgrund des Schweregrads der Lücke die Aktualisierung schnell anwenden.

Ende Februar 2024 haben Kriminelle eine Sicherheitslücke in Connectwise Screenconnect missbraucht und darüber Ransomware verteilt. Kurz zuvor tauchte im Internet Proof-of-Concept-Exploitcode auf. Die Schwachstelle hatte jedoch die Einstufung als kritisches Risiko mit der Höchstwertung CVSS 10.0 erhalten.

Besitzer einer Nvidia-Grafikkarte sollten zeitnah den GPU-Treiber aus Sicherheitsgründen auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter Linux an mehreren Schwachstellen ansetzen und Computer attackieren. Außerdem gibt es noch abgesicherte Versionen von Cloud Gaming und vGPU-Software unter Windows.

In einem Beitrag listen die Entwickler die Lücken auf. Am gefährlichsten gilt eine Schwachstelle (CVE-2025-23244 „hoch“) im Treiber für Linux-Systeme. An dieser Stelle kann ein Angreifer ohne Authentifizierung ansetzen und im schlimmsten Fall Schadcode ausführen. Im Anschluss gelten Systeme in der Regel als vollständig kompromittiert. Wie so ein Angriff konkret ablaufen könnte und ob es bereits Attacken gibt, ist bislang unbekannt. Unklar bleibt auch, wie man ein bereits angegriffenes System erkennen kann.

Zwei weitere Sicherheitslücken (CVE-2025-23245 „mittel“, CVE-2025-23246 „mittel“) bedrohen Linux und Windows. Ansatzpunkt ist die vGPU-Software. Hier ist der Virtual GPU Manager (vGPU plugin) verwundbar. Eine erfolgreiche Attacke führt zu Denial-of-Service-Zuständen. So etwas resultiert in der Regel in Abstürzen von Diensten und Software.

Nvidia gibt an, die Lücken in den folgenden Versionen für Linux und Windows geschlossen zu haben. In der Warnmeldung schreiben die Entwickler von verwundbaren Windows-vGPU-Software-Versionen, bei den gefixten Versionen ist aber nur die Rede von Windows Server (siehe unten):

Linux GPU-Treiber:

Für gewöhnlich können sich IT-Verantwortliche auf einen monatlichen Zeitplan zum Installieren von SAP-Sicherheitsupdates einstellen. Kurz vor dem Wochenende ist das dieses Mal anders: Der Walldorfer Software-Konzern stopft eine kritische Sicherheitslücke mit Höchstwertung CVSS 10 von 10 außer der Reihe. Admins sollten zügig aktiv werden.

SAP hat im Laufe des Donnerstags eine Schwachstellenmeldung herausgegeben. "SAP NetWeaver Visual Composer Metadata Uploader wird nicht von einer ordentlichen Autorisierung geschützt, was nicht authentifizierten Angreifern erlaubt, potenziell bösartige ausführbare Binärdateien hochzuladen, die das System stark schädigen können", schreiben die Entwickler des Unternehmens dort (CVE-2025-31324, CVSS 10.0, Risiko "kritisch").

Weitergehende Details nennt SAP nicht, auch nicht auf der aktualisierten Übersichtsseite zum April-Patchday, die um den Eintrag länger wurde. Es finden sich dort jedoch noch zwei aktualisierte Sicherheitsnotizen, die seit der Erstveröffentlichung vor rund zwei Wochen nötig wurden, und zwei weitere Sicherheitsmitteilungen außer der Reihe. Die behandeln jedoch Sicherheitslücken in SAP S/4 HANA und SAP Field Logistics, die lediglich einen mittleren Bedrohungsgrad haben.

IT-Verantwortliche mit verwundbaren SAP-Netweaver-Instanzen sollten die bereitgestellten Aktualisierungen umgehend anwenden. Sie sind für registrierte Admins auf den ihnen bekannten Wegen erhältlich.

Der April-Patchday findet regulär am zweiten Dienstag eines Monats statt. Im April hatte SAP dort 18 Sicherheitsmitteilungen zu Schwachstellen in diversen Produkten veröffentlicht. Bereits davon galten einige als kritisches Risiko, jedoch erreichte keines der Sicherheitslecks die schlimmstmögliche Einstufung mit einem CVSS-Wert von 10 (von 10 maximal möglichen Punkten).

WhatsApp bekommt eine neue Funktion, die besseren Schutz der Privatsphäre ermöglichen soll: "Advanced Chat Privacy". Sensible Gespräche und Informationen sollen dabei zwischen den Konversationsteilnehmern verbleiben und nicht geteilt werden können.

WhatsApp bekommt eine neue Option "Advanced Chat Privacy" für Chats.

(Bild: Meta)

In einem Blog-Beitrag erklärt WhatsApp die neue Funktion. Demnach basiere die Privatsphäre auf Ende-zu-Ende-Verschlüsselung (End-to-End-Encryption, E2EE) persönlicher Nachrichten und Anrufe, sodass nur Sender und Empfänger sie sehen, hören oder teilen können. Darauf habe WhatsApp weitere Schichten von Privatsphäre gepfropft, etwa "selbstlöschende Nachrichten" oder "Chatsperre", einem Passwortschutz für Chats.

Jetzt soll mit "Advanced Chat Protection" eine Art Kopierschutz für Chats hinzukommen. Die Einstellung der erweiterten Privatsphäre soll sowohl für Chats als auch in Gruppen verfügbar werden. Sie unterbindet, dass andere Inhalte aus den Chats aus WhatsApp heraustragen, wenn ein Quäntchen mehr Privatsphäre gewünscht ist.

Die Umsetzung von SSH in Erlang/OTP SSH enthält eine kritische Sicherheitslücke mit Höchstwertung: CVSS-Wert 10 von 10. Die Lücke ist leicht zu attackieren, Exploit-Code kursiert bereits im Netz. Nun wird langsam auch klar, welche Systeme davon betroffen sind – am weitesten verbreitet sind sicherlich OpenSSH und Abkömmlinge davon. In großen Umgebungen findet sich jedoch öfter auch Erlang/OTP SSH.

Die IT-Sicherheitsforscher von Arctic Wolf haben eine Übersicht zusammengetragen, in der sich betroffene Hersteller und Produkte finden. Etwa der Netzwerkausrüster Ericsson setzt in seinen Produkten Erlang/OTP SSH ein, die für fehlertolerante, verteilte Anwendungen gedacht sind, etwa Switches wie AXD301. Eine Übersicht von Ericsson zu betroffenen Produkten und Hilfestellung beim Umgang mit der Lücke gibt es demnach noch nicht.

Cisco untersucht derweil noch, welche Systeme betroffen sind, und hat eine Sicherheitsmeldung dazu veröffentlicht – das Unternehmen will sie stetig mit neuen Erkenntnissen aktualisieren. Dort listet Cisco bislang ConfD und ConfD Basic, Network Services Orchestrator als verwundbar auf und verspricht fehlerkorrigierte Software im Mai 2025. Ebenfalls anfällig sind Smart PHY sowie Intelligent Node Manager und Ultra Cloud Core (Subscriber Microservices Infrastructure). Es sind inzwischen auch viele Systeme als nicht betroffen identifiziert worden, etwa IOS, IOS XE, IOX XR, SD-WAN, ISE und weitere.

Zu den weiteren verwundbaren Anbietern gehört nach jetzigem Stand EMQ Technologies. Nicht standardmäßig installiert, aber optional verfügbar ist Erlang/OTP SSH bei National Instruments, Broadcom (insbesondere RabbitMQ), Very Technology, Apache (CouchDB) und Riak Technologies. Hier müssen Admins prüfen, ob sie Erlang/OTP SSH installiert haben und gegebenenfalls die verfügbaren Aktualisierungen installieren.

Dass die Schwachstelle in Erlang/OTP SSH kritisch und einfach angreifbar ist, war bereits bekannt. Die Entdecker der Lücke von der Ruhr-Universität Bochum hatten Details zu der Lücke veröffentlicht. Bislang war jedoch nicht klar, wo die Software tatsächlich eingesetzt wird und welche Systeme daher bedroht sind.

In Sonicwalls Firewall-Betriebssystem SonicOS klafft eine Sicherheitslücke im SSLVPN. Angreifer können die Firewall abstürzen lassen und so eine Denial-of-Service-Situation provozieren. Sonicwall stellt Updates bereit, die die Lücke ausbessern.

Sonicwall hat eine Sicherheitsmitteilung veröffentlicht, in der das Unternehmen vor der Schwachstelle warnt. Im "Virtual office interface" des SonicOS SSLVPN kann unter nicht genauer genannten Umständen eine sogenannte Null-Pointer-Dereferenz auftreten, also der Code versuchen, bereits freigegebene Ressourcen erneut freizugeben. Das führt in der Regel zum Absturz der Software, wie auch in diesem Fall – und lässt sich glücklicherweise offenbar nicht missbrauchen, um Schadcode einzuschleusen und auszuführen.

Das können Angreifer aus dem Netz verursachen, ohne vorherige Authentifizierung, wie Sonicwall in der Schwachstellenbeschreibung erklärt (CVE-2025-32818, CVSS 7.5, Risiko "hoch"). Die Schwachstelle bessern die aktualisierten Firmware-Versionen für die betroffenen Geräte der Gen7 NSv-Reihe, konkret NSv 270, NSv 470, NSv 870, sowie für die Gen7 Firewalls TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W,TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700 und NSsp 15700 in Version 7.2.0-7015 und neuer sowie für die TZ80 in Fassung 8.0.1-8017 oder neuer aus.

Nicht betroffen sind hingegen SonicOS GEN6 und GEN7 mit 7.0.x-Firmware-Versionen, erörtert der Hersteller.

Sicherheitslücken in Sonicwall-Produkten sollten IT-Verantwortliche nicht auf die leichte Schulter nehmen, sondern angebotene Sicherheitsupdates so zeitnah wie möglich installieren. Immer wieder werden Angriffe auf Schwachstellen in Sonicwall-Geräten bekannt, so etwa auch vergangene Woche. Dort haben Kriminelle Schwachstellen in der SMA100-Serie des Herstellers angegriffen. Die wurde bereits im Jahr 2021 bekannt und seitdem stehen Aktualisierungen bereit, die die Lücke stopfen. Offenbar sind jedoch einige Admins bei Sonicwall-Firewalls nachlässig.

Angreifer können an acht Sicherheitslücken im Netzwerk- und Schwachstellenscanner Nessus ansetzen. Im schlimmsten Fall können sie Abstürze provozieren oder Schadcode ausführen. Eine dagegen abgesicherte Version steht zum Download bereit.

Wie aus einer Warnmeldung hervorgeht, betreffen die Lücken Drittanbieter-Komponenten (expat und libxml2) und Nessus selbst. Am gefährlichsten gilt eine Schwachstelle (CVE-2024-40896 "kritisch") in libxml2. Setzen Angreifer erfolgreich an der Lücke an, können sie unter anderem auf eigentlich abgeschottete Informationen zugreifen, Daten ändern oder DoS-Zustände auslösen.

Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad "hoch" eingestuft. An diesen Stellen sind unter anderem Schadcode-Attacken denkbar.

Admins sollten zeitnah die reparierte Nessus-Ausgabe 10.8.4 installieren. Alle vorigen Versionen sind den Entwicklern zufolge verwundbar.

Angreifer können Sicherheitslücken in Sonos Speaker-Systemen missbrauchen, um Schadcode einzuschleusen und auf den Lautsprechern auszuführen. Aktualisierungen stehen bereit.

Es geht um insgesamt drei Sicherheitslücken, zu denen die Zero-Day-Initiative (ZDI) von Trend Micro jetzt zusammen mit Sonos koordiniert Informationen veröffentlicht hat. Alle drei Schwachstellen verpassen die Einordnung als kritisches Sicherheitsrisiko nur äußerst knapp und lassen sich ohne vorherige Anmeldung ausnutzen.

Das erste der nun gemeldeten Sicherheitslecks geht auf eine fehlende Prüfung bei der Verarbeitung von SMB-Daten zurück (also aus Windows-Netzwerkfreigaben), ob ein Objekt überhaupt existiert, bevor die Sonos-Software Operationen darauf ausführt (CVE-2025-1048, CVSS 8.8, Risiko "hoch"). Etwas unerwartet ist ein sicherheitsrelevantes Problem bei der Verarbeitung von ID3-Tags, wie sie etwa MP3-Dateien enthalten. Es findet keine ausreichende Prüfung der Länge von benutzerübergebenen Daten statt, bevor die in einen Puffer auf den Heap kopiert werden. Durch den potenziell auftretenden Pufferüberlauf lässt sich Schadcode einschleusen und im Kontext des Nutzers "anacapa" ausführen (CVE-2025-1049, CVSS 8.8, Risiko "hoch").

Ähnlich sieht es bei der Verarbeitung von HLS-Playlisten-Daten aus. Auch hier fehlt eine sachgerechte Prüfung der Länge benutzerübergebener Daten, wodurch Schreibzugriffe hinter das Ende einer allokierten Datenstruktur möglich wird – der User "anacapa" lässt sich dadurch unfreiwillig zum Ausführen von eingeschmuggelten Schadcode bringen (CVE-2025-1050, CVSS 8.8, Risiko "hoch").

Die Schwachstelleneinträge des ZDI beschreiben die Lücken für die Sonos Era-300-Systeme. Eine nun öffentlich zugreifbare Sicherheitsmitteilung von Sonos erklärt jedoch, dass alle Sonos S1- und S2-Systeme, und hier genauer System-Releases vor v16.6 (Build 83.1-61240) und Sonos S1-System-Releases v11.15.1 (Build 57.22-61162) anfällig sind. Demnach handelt es sich um Schwachstellen, die im Rahmen der Pwn2Own-Veranstaltung 2024 in Irland aufgedeckt wurden. Eine Anleitung von Sonos erörtert, wie Nutzerinnen und Nutzer die bereitstehenden Aktualisierungen installieren können.

Microsofts Entwickler haben erneut Pech mit Windows-Updates. Ein Patch, der eine Sicherheitslücke in Windows-Betriebssystemen schließt, mit der Angreifer ihre Rechte im System ausweiten können, erstellt im Systemlaufwerk den Ordner "inetpub". Ein renommierter IT-Sicherheitsforscher hat herausgefunden, dass das jedoch eine neue Schwachstelle im System öffnet.

Der IT-Security-Experte Kevin Beaumont hat seine Erkenntnisse in einen Blog-Beitrag gegossen. Der Microsoft-Patch zum Schließen einer Sicherheitslücke mit dem CVE-Eintrag CVE2025-2104 wurde zum April-Patchday veröffentlicht. Das Problem, das das Update löst, betrifft eine falsche Auflösung von Verknüpfungen ("link following"). Mit solchen Verknüpfungen lässt sich nun jedoch Schindluder treiben.

Windows kennt seit Windows 2000 sogenannten "Junctions" als Verknüpfungen. Dabei dient ein Verzeichnis als Alias für ein anderes. So kann etwa das Verzeichnis "D:\Win" auf "C:\Winnt\System32" verweisen, und ein Zugriff auf "D:\Win\Drivers" landet tatsächlich in "C:\Winnt\System32\Drivers". Beaumont weist darauf hin, dass sogar Nicht-Admins derartige Junctions im Systemlaufwerk C: anlegen dürfen.

Mit dem Aufruf des Befehls mklink /j c:\inetpub c:\windows\system32\notepad.exe legt er eine solche Verknüpfung der "notepad.exe" auf das Verzeichnis "inetpub" an. Sofern er diese Verknüpfung angelegt hat, schlägt die Installation der Windows-Updates aus dem April fehl. Das geht laut Beaumont auch künftigen Updates so, sofern Microsoft das Problem nicht zuvor löst. Die Installation schlägt fehl und löst gegebenenfalls ein Rollback aus. Am Ende stehen Betroffene ohne Sicherheitsupdates da. Dieses Verhalten könnten bösartige Akteure missbrauchen. Kevin Beaumont hat Microsoft diesbezüglich den eigenen Angaben nach vor zwei Wochen kontaktiert, jedoch keine Rückmeldung erhalten.

Vergangene Woche fiel der oftmals neu auftauchende Ordner "C:\inetpub" auf Windows-Systemen auf, auf denen zuvor kein Microsoft-Webserver (Internet Information Server, IIS) aktiv war. Microsoft schrieb dazu: "Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob Internetinformationsdienste (IIS) auf dem Zielgerät aktiviert ist. Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen, und erfordert keine Aktion von IT-Administratoren und Endbenutzern."

In Folge 30 des Security-Podcasts besprechen die Hosts zunächst das diverse Feedback ihrer Hörer und Hörerinnen. Die treibt immer noch das Thema Smartphone-Security aus den Folgen 25 und 28 um, was zu einigen interessanten Anmerkungen geführt hat. Danach geht es um die Exploit- und Angriffs-Industrie in China und das i-Soon-Leak.

Angreifer können an zwei Sicherheitslücken in Zyxel-Firewalls der Serie USG FLEX H ansetzen. Attacken sind aber nicht ohne Weiteres möglich.

In einer Warnmeldung führen die Entwickler auf, dass es zu Fehlern bei der Verarbeitung von PostgreSQL-Befehlen kommen kann (CVE-2025-1732 "hoch"). Für eine solche Attacke muss ein lokaler Angreifer aber bereits authentifiziert sein und über niedrige Nutzerrechte für die Linux-Shell verfügen. Ist das gegeben, kann er sich eines Admin-Tokens bemächtigen und Konfigurationen verändern. Konkret sind davon die uOS-Versionen 1.20 bis einschließlich 1.31 betroffen.

Die zweite Schwachstelle (CVE-2025-1732 "mittel") versetzt einen Angreifer, der bereits über Administratorrechte verfügt, in die Lage, präparierte Konfigurationsdateien hochzuladen. Die Entwickler versichern, beide Lücken in uOS 1.32 geschlossen zu haben.

Aus der Warnmeldung von Zyxel geht nicht hervor, ob es bereits Attacken gibt. Unklar bleibt bislang auch, an welchen Parametern Admins bereits attackierte Firewalls erkennen können.

Es sind wichtige Sicherheitspatches für IBM Hardware Management Console (HMC) erschienen. Angreifer könnten unter anderem Schadcode als privilegierter Benutzer ausführen. Sicherheitsupdates sind verfügbar.

Mit einer HMC-Appliance verwalten Admins IBM-Systeme. Eine Kompromittierung kann weitreichende Schäden nach sich ziehen.

In einer Warnmeldung schreiben die Entwickler, dass lokale Angreifer an einer "kritischen" Lücke (CVE-2025-1950) ansetzen können. Weil Bibliotheken aus eigentlich nicht vertrauenswürdigen Quellen nicht ausreichend überprüft werden, kann Schadcode auf Systeme gelangen.

Durch das erfolgreiche Ausnutzen der zweiten Schwachstelle (CVE-2025-1951 "hoch") können lokale Angreifer Befehle mit erweiterten Rechten ausführen, heißt es in einem Beitrag.

Konkret bedroht sind HMC V10.2.1030.0 und V10.3.1050.0. In den Warnmeldungen listen die Entwickler die Fixes MF71717, MF71718, MF71719 und MF71720 auf. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Unklar bleibt, woran Admins bereits attackierte Appliances erkennen können.