Comretix Blog

Ivanti Endpoint Manager ist verwundbar. Insgesamt können Angreifer an sechs mittlerweile geschlossenen Schwachstellen ansetzen. Derzeit gibt es den Entwicklern zufolge keine Hinweise auf Attacken.

Wie aus einer Warnmeldung hervorgeht, gilt eine Reflected-XSS-Schwachstelle (CVE-2025-22466 "hoch") am gefährlichsten. Hier kann sich der knappen Beschreibung zufolge ein entfernter Angreifer ohne Authentifizierung Admin-Rechte erschleichen. Dafür muss ein Opfer aber mitspielen. Wie das im Detail ablaufen könnte, ist bislang unklar.

Durch eine präparierte DLL-Bibliothek kann sich ein bereits authentifizierter Angreifer System-Rechte verschaffen (CVE-2025-22358 "hoch"). Eine SQL-Lücke (CVE-2025-22461 "hoch") erlaubt es Angreifern, die dafür jedoch bereits Admin sein müssen, Schadcode auszuführen.

Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad "mittel" eingestuft. An diesen Stellen kann sich ein Angreifer zum Beispiel aufgrund einer unzureichenden Zertifikatsüberprüfung in Verbindungen einklinken.

Die Entwickler versichern, die Schwachstellen in den Ivanti-Endpoint-Manager-Versionen 2022 SU7 und 2024 SU1 geschlossen zu haben.

Schwachstellen in AEM Forms, After Effects, AEM Screens, Animate, Bridge, ColdFusion, Commerce, FrameMaker, Media Encoder, Photoshop, Premiere Pro und XMP Toolkit SDK gefährden PCs.

Bislang gibt es keine Berichte, dass Angreifer Lücken bereits ausnutzen. Admins sollten mit dem Installieren der Sicherheitsupdates aber nicht zu lange zögern. In den unterhalb dieser Meldung verlinkten Warnmeldung finden Admins weiterführende Informationen zu den Schwachstellen und abgesicherten Versionen.

Die meisten Sicherheitslücken betreffen ColdFusion. Hier haben die Entwickler unter anderem vier "kritische" Schadcode-Schwachstellen (CVE-2025-24446, CVE-2025-24447, CVE-2025-30281, CVE-2025-30282) geschlossen. Wie Attacken konkret aussehen könnten, geht aus der Warnmeldung nicht hervor. Offensichtlich gibt es diverse Ansatzpunkte wie eine unzureichende Überprüfung von Eingaben und eine unzulässige Authentifizierung.

Die Entwickler geben an, die Lücken in ColdFusion 2021 Update 19, ColdFusion 2023 Update 13 und ColdFusion 2025 Update 1 geschlossen zu haben.

Weitere Attacken mit Schadcode sind unter anderem auf Animate und FrameMaker möglich. An diesen Stellen können Angreifer auf nicht näher beschriebenen Wegen Speicherfehler auslösen. Um Attacken vorzubeugen, haben die Entwickler unter macOS und Windows Animate 2023 23.0.11 und Animate 2024 24.0.8 veröffentlicht. FrameMaker wurden in den Ausgaben FrameMaker 2020 Update 8 und FrameMaker 2022 Update 6 unter Windows abgesichert.

Derzeit haben Angreifer Windows 10/11 und verschiedene Windows-Server-Versionen im Visier. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Admins sollten zügig sicherstellen, dass Windows Update aktiv ist und PCs auf dem aktuellen Stand sind.

Die ausgenutzte Schwachstelle (CVE-2025-29824 "hoch") betrifft den Protokolldateisystem-Treiber. Viele Informationen zur Lücke sind zurzeit nicht verfügbar. Die wenigen Angaben lassen darauf schließen, dass sich lokal authentifizierte Angreifer System-Rechte verschaffen können. Da es sich um eine Speicherfehler-Schwachstelle (use-after-free) handelt, ist davon auszugehen, dass Angreifer diesen Fehler mit bestimmten Eingaben auslösen können.

In der Position nach einer erfolgreichen Attacke liegt es nahe, dass Angreifer Schadcode ausführen und so ganze Systeme kompromittieren. In einer Warnmeldung zur Lücke führt Microsoft aus, dass die Sicherheitspatches für Windows 10 32 Bit und 64 Bit bislang nicht verfügbar sind. Wann sie folgen, ist noch unklar.

Mehrere Schadcode-Schwachstellen stuft Microsoft als "kritisch" ein. Diese betreffen unter anderem Excel (CVE-2025-27752 "hoch"), Hyper-V (CVE-2025-27491 "hoch") und Windows Remote Desktop Services (CVE-2025-27480 "hoch"). Im letzten Fall muss sich ein Angreifer lediglich via RDP mit einem verwundbaren System verbinden, eine Race Condition auslösen, um Schadcode auf Computer schieben zu können. Die Hyper-V-Updates für Windows 10 sollen zu einem späteren Zeitpunkt erscheinen.

Ferner gibt es noch Patches für etwa Office, SharePoint und Windows Defender. An diesen Stellen können Angreifer unter anderem unbefugt Informationen einsehen, DoS-Zustände auslösen oder sich höhere Nutzerrechte verschaffen. Ausführlichere Informationen zu den Sicherheitslücken führt Microsoft im Security Update Guide auf.

Die 29. Folge des Podcasts von heise security bestreiten Sylvester und Christopher wieder zu zweit, diese Folge kommt ohne Gast aus. Allerdings nicht ohne zahlreiches Feedback der Hörer, die sich Sorgen um Smartphone-Sicherheit machen. Einige Rückmeldungen besprechen die Hosts miteinander und tauschen sogar die Rollen: Der Apple-Nutzer Christopher erzählt zu neuen Sicherheits-Features beim Konkurrenten Android.

Die Bundeswehr plant angeblich die Errichtung mindestens einer Satellitenkonstellation, die zur Kommunikation, Aufklärung oder Erdbeobachtung genutzt werden soll. Das berichtet das Handelsblatt unter Berufung auf Insider und das Verteidigungsministerium selbst. Das Projekt soll Deutschland von Technik aus dem Ausland unabhängig machen, allen voran dem Satelliteninternet Starlink von SpaceX. Das habe seinen Wert längst unter Beweis gestellt, ist aber aus verschiedenen Gründen für die Bundeswehr nur bedingt nutzbar. Die Pläne für eine oder mehrere eigene Konstellationen stellen auch eine Abkehr von der europäischen Starlink-Alternative Iris2 dar, die dem Militär aber auch nur teilweise zur Verfügung stünde.

Wie das Handelsblatt weiter schreibt, hat das Verteidigungsministerium den Bericht bestätigt. Es würden verschiedene Optionen für den möglichen Aufbau von Satellitenkonstellationen untersucht, um den steigenden Bedarf durch nationale Fähigkeiten zu decken. Pro Konstellation würden Kosten von einer bis zehn Milliarden Euro anfallen, zitiert das Blatt einen Insider, die Bundeswehr wolle vor allem auf heimische Firmen setzen. Das Geld stehe mit der neuen Schuldenregelung zur Verfügung. Aktuell liefen bereits Gespräche mit den neuen deutschen Raketenunternehmen Isar Aerospace, RFA und Hyimpulse. Die Zeit dränge, so ein Experte. SpaceX solle explizit nicht genutzt werden.

Grundlegende Charakteristika der geplanten Konstellation oder Konstellationen seien aber noch unklar, heißt es weiter. So gehe es vor allem um die Bereiche Kommunikation, Aufklärung und Erdbeobachtung, die nötige Technik könne theoretisch auf einem Satelliten angebracht werden. Dann müssten diese aber äußerst groß werden und es würden sich Einschränkungen im Betrieb ergeben. Gleichzeitig plane die Bundeswehr möglichst wenige Bodenstationen, die Satelliten müssten also untereinander kommunizieren können, beispielsweise über Laser. Nicht einmal die Frage, in welchen Orbits die Satelliten platziert werden sollen, ist demnach geklärt. Niedrigere verringern die Latenz, auf höheren lässt sich mehr Fläche abdecken.

Auch wenn es sich bei den ersten Planungen und Gesprächen um einen deutschen Alleingang handle, sei ein Ausschluss europäischer Partner nicht vorgegeben. Die Zeitung zitiert noch den Chef des Bremer Satellitenbauers OHB, laut dem Italien, Großbritannien und osteuropäische Staaten derzeit über eigene Satellitenkonstellationen nachdenken. Das unterstreicht auch, wie stark sich das Bild des US-Unternehmens SpaceX zuletzt gewandelt hat. Schon auf den Krieg in der Ukraine hat SpaceX-Chef Elon Musk versucht, Einfluss zu nehmen und hat versucht, Starlink als Druckmittel einzusetzen. Seit er zum einflussreichen Vertrauten von Donald Trump aufgestiegen ist, ist das Vertrauen in seine Zuverlässigkeit weiter gesunken.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Ein Einbruch in das E-Mail-System der US-Bankenaufsicht war offenbar schwerwiegender als zunächst intern angenommen: Der Täter hat sich Zugang zu mehr E-Mail-Konten des Office of the Comptroller of the Currency (OCC) zu verschaffen gewusst als ursprünglich ersichtlich war.

Das berichtet Bloomberg Law unter Berufung auf nicht namentlich genannte Eingeweihte. Der Täter hat demnach schon im Juni 2023 ein Administratorkonto geknackt und sich damit in zahlreiche E-Mail-Konten von OCC-Beamten eingenistet. Die Bundesbehörde OCC überwacht in den USA tätige Banken und Sparkassen, ist für die Durchsetzung von Bestimmungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständig und soll den Wettbewerb in der Branche stärken. Sowohl für Spekulanten wie organisierte Verbrecher können einschlägige Insiderinformationen Gold wert sein.

Aufgeflogen ist der Einbruch erst nach rund 21 Monaten, im Februar. Das OCC veröffentlichte daraufhin eine wortkarge Mitteilung, wonach eine "begrenzte Zahl" an E-Mail-Konten betroffen sei. Diese seien stillgelegt worden. "Zur Zeit" gäbe es keine Hinweise auf Auswirkungen auf die Finanzbranche, sagte das OCC damals.

Laut Bloomberg Law sind unter den Betroffenen insgesamt rund 100 Beamte, darunter hochrangige Manager und Überwacher internationaler Banken. Die Täter hätten Zugang zu mehr als 150.000 E-Mails gehabt. Voriges Jahr hatte die Behörde insgesamt 3.630 Mitarbeiter (Vollzeitäquivalente). Wer hinter dem erfolgreichen Angriff steckt, ist bislang nicht bekannt.

Das OCC wurde 1863 gegründet und ist als unabhängige Abteilung des US-Finanzministeriums eingerichtet. Dieses musste Anfang des Jahres eingestehen, Opfer eines IT-Angriffs aus der Volksrepublik China geworden zu sein. Der Täter habe sich aus der Ferne Zugang zu mehreren Computern des Finanzministeriums und den darauf befindlichen, nicht als geheim eingestuften Dokumenten verschafft. Das Außenamt Chinas stellte die Vorwürfe in Abrede und erklärte, es gäbe keine Beweise.

Um in Zukunft nicht Angriffen von großen Quantencomputern ausgeliefert zu sein, ergänzen viele Bibliotheken Post-Quanten-Verfahren. So auch OpenSSL, die im September 2024 ankündigten, die frisch standardisierten Post-Quanten-Verfahren zeitnah zu implementieren. Das ist nun geschehen: Mit der neuen Version 3.5.0 unterstützt OpenSSL die Verfahren ML-KEM, ML-DSA und SLH-DSA.

Die Verfahren sind das Ergebnis eines 2016 gestarteten Auswahlverfahren der US-amerikanischen Standardisierungsbehörde NIST (National Institute of Standards and Technology). Dieser mündete 2024 in drei Standards: FIPS-203, FIPS-204 und FIPS-205. Deutsche Forscher waren an vielen der eingereichten Verfahren beteiligt.

FIPS-203 basiert auf dem asymmetrischen Kyber-Algorithmus (jetzt kurz ML-KEM genannt, früher CRYSTALS-Kyber), der künftig klassische Schlüsselaustauschverfahren wie RSA oder ECDSA ablösen soll. FIPS-204 beruht auf dem Dilithium-Algorithmus (ML-DSA, früher CRYSTALS-Dilithium) und dient für digitale Signaturen. Als Alternative zu ML-DSA standardisierte das NIST mit FIPS-205 noch Sphincs+ (SLH-DSA).

Abseits der Implementation der PQC-Verfahren stufte OpenSSL mit der Version 3.5.0 sämtliche Funktionen von BIO_meth_get_*() als veraltet (deprecated) ein. Zudem löst für die Befehle req, cms und smime das symmetrische Verfahren aes-256-cbc nun des-ede3-cbc als Standard ab. Alle weiteren Änderungen finden sich auf GitHub in den Release-Informationen dokumentiert.

Die am 8. April 2025 veröffentlichte Version ist zudem eine LTS (long term stable) und wird für fünf Jahre bis zum 8. April 2030 mit Updates versorgt. Die nächste Version 3.6 soll im Oktober 2025 erscheinen.

Zum Stopfen von Sicherheitslücken in HCL BigFix, DevOps, Traveler und Connections stellt HCL Software nun Updates bereit. Die Lücken gelten teils als kritisch. IT-Verantwortliche sollten die Updates zügig anwenden.

Am schwersten hat es HCL BigFix WebUI, also die Management-Oberfläche für BigFix, getroffen. Mehrere Schwachstellen sind in den darin verwendeten Open-Source-Komponenten, davon ist eine in canvg 4.0.2 als kritisch eingestuft (CVE-2025-25977, CVSS 9.8) sowie zwei in xml-crypto (CVE-2025-29774, CVE-2025-29775, beide CVSS 9.3).

Auch in BigFix Server Automation ist ein Open-Source-Modul für das Aufreißen einer Sicherheitslücke verantwortlich, hier liegt es an axios, einem HTTP-Client für den Browser und node.js. Eine potenzielle Server-Side-Request-Forgery (SSRF) darin gefährdet die Sicherheit des Systems (CVE-2025-27152, CVSS 7.7, Risiko "hoch").

Die weiteren Schwachstellen haben etwas niedrigere Risiko-Einstufungen erhalten, stellen dennoch ein potenzielles Einfallstor für bösartige Akteure dar. Die Sicherheitsmitteilungen von HCL sollten Admins daher darauf prüfen, ob sie die verwundbare Software einsetzen und im Anschluss die verfügbaren Aktualisierungen herunterladen und installieren.

Die Schwachstellen absteigend nach Schweregrad sortiert:

Bei der Untersuchung einer Malware-Infektion auf einem Rechner stießen IT-Forscher auf eine Sicherheitslücke in Antivirensoftware, die Angreifer zum Ausführen von Schadcode missbraucht haben. Der Virenschutz hat damit erst die Ausführung der Malware ermöglicht.

Kaspersky hat eine Analyse der Malware veröffentlicht. Demnach stießen die IT-Forscher bei der Untersuchung von Vorfällen mit der ToddyCat-Malware auf eine verdächtige Datei namens "version.dll" im temporären Verzeichnis auf mehreren Geräten. Es handelt sich um eine in C++ programmierte 64-Bit-DLL, die ein komplexes Tool mit dem Namen TCESB enthält. Die war für ToddyCat-Angriffe neu und ist dafür ausgelegt, unauffällig bösartige Payloads unter Umgehung von Schutz- und Überwachungssoftware auf den Geräten auszuführen.

So eine DLL exportiert Funktionen und wird von einem anderen Programm eingebunden, das diese Funktionen aufruft. Bei der Suche nach Software, die diese Bibliothek einbindet und aufruft, sind Kasperskys Analysten auf eine Datei namens "ecls" gestoßen. Ein bösartiger Akteur hat vermutlich fehlerhaft die Datei ohne Endung auf das System geschoben und nach dem Angriff nur die Version mit einem ausführbaren Dateisuffix gelöscht. Es stellte sich heraus, dass es sich um den Kommandozeilenscanner aus Esets Endpoint-Protection handelt, dem "Eset Command Line Scanner".

Die weitere Untersuchung erbrachte die Erkenntnis, dass dieser Scanner auf unsichere Art und Weise die "version.dll"-Bibliothek lädt, indem sie als Erstes das aktuelle Verzeichnis und nachfolgend die Systemverzeichnisse danach durchsucht. Es handelt sich um eine klassische DLL-Hijacking-Schwachstelle.

Eset hat von Kaspersky einen Schwachstellenhinweis erhalten und mit einer eigenen Sicherheitsmitteilung am Wochenende darauf reagiert. Sie trägt den Titel "DLL-Suchreihenfolge-Hijacking-Schwachstelle in Eset-Produkten für Windows ausgebessert". Darin räumt Eset die Sicherheitslücke ein, legt jedoch Wert auf den Hinweis, dass sie nicht zum Ausweiten der Rechte im System genutzt werden kann, sondern Angreifer zuvor bereits Admin-Rechte besitzen müssen (CVE-2024-11859, CVSS 6.8, Risiko "mittel"). Die Risikoeinstufung verpasst den Status "hoch" nur um Haaresbreite.

Besitzer von noch im Support befindlichen Android-Smartphones und -Tablets sollten sicherstellen, dass die aktuellen Sicherheitsupdates installiert sind. Angreifer nutzen derzeit zwei Schwachstellen aus.

In einer Warnmeldung schreiben die Entwickler von gezielten Attacken in begrenztem Umfang. Die beiden Lücken (CVE-2024-53150, Risiko "hoch" und CVE-2024-53197, ebenfalls Risiko "hoch") betreffen die Advanced Linux Sound Architecture (ALSA). Konkret ist USB-Audio betroffen. An dieser Stelle können Angreifer unter anderem am Treiber mit speziellen Eingaben ansetzen, um Speicherfehler auszulösen. Das führt in der Regel zu Abstürzen (DoS) oder es kann sogar Schadcode auf den Systemen zur Ausführung gelangen.

Weiterführende Informationen zum Ablauf und den Auswirkungen der Attacken gibt es derzeit nicht. Google versichert, Geräte mit den Patch Levels 2025-04-01 und 2025-04-05 der Android-Betriebssysteme gegen diese Angriffe gerüstet zu haben.

Überdies haben die Entwickler in Android 13, 14 und 15 noch "kritische" Lücken (CVE-2025-22429, CVE-2025-26416, CVE-2025-22423) im Framework und System geschlossen. An diesen Stellen können Angreifer auf nicht näher beschriebenen Wegen unbefugt auf Informationen zugreifen oder sich höhere Nutzerrechte im System aneignen.

Ansonsten sind noch DoS-Attacken mit Attacken auf einige der Schwachstellen möglich. Außerdem haben die Programmierer Sicherheitslücken in Komponenten der Systems-on-a-Chip-Hersteller (SoC) Arm, Imagination Technologies, MediaTek und Qualcomm geschlossen. Davon ist unter anderem das WLAN-Modul betroffen.

SAP hat am Dienstag dieser Woche die Sicherheitsmitteilungen zum April-Patchday veröffentlicht. Insgesamt behandelt das Walldorfer Unternehmen in 18 Security-Bulletins Schwachstellen. Davon gelten drei als kritisches Sicherheitsrisiko, vier hingegen als hohes.

In der Patchday-Übersicht listet SAP die einzelnen Mitteilungen auf. Tief in die Details gehen die Beschreibungen dort nicht, die finden Admins nach Log-in in ihren SAP-Account unter der von SAP verlinkten Notiz-Nummer.

Durch die kritischen Sicherheitslücken können Angreifer Schadcode in SAP S/4HANA (Private Cloud) (CVE-2025-27429, CVSS 9.9, Risiko "kritisch") sowie SAP Landscape Transformation (Analysis Platform) (CVE-2025-31330, CVSS 9.9, Risiko "kritisch") einschleusen und ausführen. Bösartige Akteure können zudem die Authentifizierung in SAP Financial Consolidation umgehen (CVE-2025-30016, CVSS 9.8, Risiko "kritisch").

IT-Verantwortliche sollten prüfen, ob die in ihren Netzwerken eingesetzte Software unter den von Schwachstellen betroffenen Programmen findet, und zügig die bereitstehenden Updates installieren. Die aktuellen Sicherheitsmeldungen von SAP nach Risikoeinstufung sortiert:

Außerdem hat SAP zwei ältere Sicherheitsmitteilungen aktualisiert. Eine betrifft die SAP BusinessObjects Business Intelligence Platform, in der initial im Februar eine hochriskante Lücke entdeckt wurde, die andere eine Server Side Request Forgery (SSRF) in SAP CRM und SAP S/4 HANA mit niedrigem Schweregrad, die ursprünglich im März behandelt wurde.

Seit vergangener Woche sind Angriffe im Netz auf eine Sicherheitslücke in der Datentransfersoftware CrushFTP bekannt. Die zunächst vorliegende Schwachstellenbeschreibung blieb äußerst oberflächlich und nannte lediglich eine mögliche "Umgehung der Authentifizierung". CrushFTP hat nun eine eigene, vollständigere Schwachstellenmeldung herausgegeben.

CrushFTP schreibt auf der Webseite etwas aufgebracht dazu: "CVE-2025-0282 scheint eine CVE-Kopie zu sein, die automatisch von einem nicht damit in Verbindung stehendem Unternehmen ausgestellt wurde". Inzwischen räumt CrushFTP dort auch den öffentlichen Exploit der Lücke ein.

Die Beschreibung der Lücke im neuen CVE-Eintrag ist deutlich detaillierter. "CrushFTP vor Version 10.8.4 und 11.3.1 ermöglicht die Umgehung der Authentifizierung und die Übernahme des 'crushadmin'-Kontos (außer, eine DMZ-Proxy-Instanz wird genutzt), wie es in freier Wildbahn im März und April 2025 missbraucht wurde, auch bekannt als 'nicht authentifizierter HTTP(s)-Port-Zugang'", leitet die Mitteilung ein. "Eine Race Condition betrifft die AWS4-HMAC-(kompatibel mit S3)-Autorisierungsmethode der HTTP-Komponente des FTP-Servers. Der Server prüft zunächst die Existenz eines Users durch den Aufruf von login_user_pass(), ohne, dass ein Passwort nötig wäre. Das authentifiziert die Session durch den HMAC-Verifikationsprozess bis zu dem Zeitpunkt, zu dem der Server die User-Verifikation nochmals prüft. Die Schwachstelle lässt sich stabiler ausnutzen, ohne erfolgreich eine Race-Condition gewinnen zu müssen, indem ein verstümmelter AWS4-HMAC-Header gesendet wird."

Die Autoren erklären weiter: "Durch lediglich einer Angabe eines Nutzernamens und einem nachfolgenden Slash ('/') findet der Server einen Nutzernamen, was den 'erfolgreich authentifziert-Prozess' anstößt. Der Server findet den erwarteten 'SignedHeaders'-Eintrag dann nicht, was in einen 'Index-out-of-Bounds'-Fehler mündet, was den Code davon abhält, die Session-Cleanup-Routinen zu erreichen. Zusammen führt das zu einer trivialen Möglichkeit, sich als jedweder bekannter oder erratbarer Nutzer wie 'crushadmin' anzumelden, was zu einer vollständigen Kompromittierung des Systems durch Erlangen eines administrativen Zugangs führen kann" (CVE-2025-31161, CVSS 9.8, Risiko "kritisch").

Die US-amerikanische IT-Sicherheitsbehörde CISA hat auch den neuen CVE-Eintrag umgehend in die Datenbank der bekannten missbrauchten Schwachstellen (Known Exploited Vulnerabilities) aufgenommen. Die aktualisierten Softwareversionen sollten IT-Verantwortlich umgehend installieren, sofern das noch nicht geschehen ist. "CrushFTP-Instanzen sollten innerhalb eines Tages eine Benachrichtigung über eine neue Version anzeigen, sofern der Zugriff auf die Update-Server nicht blockiert wurde", schreiben die Autoren dazu auf der CrushFTP-Webseite.

Der Autovermieter Europcar ist mutmaßlich Opfer eines Cyberangriffs geworden. Dabei erbeutete ein Cyberkrimineller Kundendaten und andere vertrauliche Informationen. Wie die Tech-Webseite Bleeping Computer berichtet, ist der Angreifer wohl in die GitLab-Repos der Mietwagenfirma eingedrungen und hat so Daten von bis zu 200.000 Kunden und den Quellcode für Android- und iOS-Anwendungen gestohlen.

Dem Bericht zufolge behauptete ein Nutzer, der sich selbst Europcar nennt, in einem Internetforum, dass er "erfolgreich in die Systeme von Europcar eingedrungen ist und alle GitLab-Repositories erhalten hat". Zum Beweis veröffentlichte der Täter Screenshots von Anmeldeinformationen, die in dem gestohlenen Quellcode enthalten sind.

Der erbeutete Datensatz ist demnach 37 Gigabyte groß und enthält die Backups und Details über die Cloud-Infrastruktur und interne Anwendungen des Unternehmens. Der Angreifer versuchte laut Bleeping Computer, Europcar zu erpressen, indem er drohte, die Daten zu veröffentlichen.

Wie er Zugriff auf die Repositories von Europcar erlangen konnte, sei noch unklar, so Bleeping Computer, viele der jüngsten Sicherheitsverletzungen seien aber durch Infostealer erbeutete Zugangsdaten ausgelöst worden. Anfang vergangenen Jahres war Europcar schon einmal mutmaßlich Opfer eines Datenlecks. Ein Online-Krimineller behauptete, in die IT des Autovermieters eingebrochen zu sein und dabei rund 50 Millionen Datensätze kopiert zu haben. Europcar winkte damals ab: Die Daten seien gefälscht und könnten nicht von dem Unternehmen stammen.

Im aktuellen Fall scheint es sich jedoch nicht um Fake zu handeln. Europcar habe den Datenabfluss bestätigt, bewerte derzeit aber noch das genaue Ausmaß des Schadens, schreibt Bleeping Computer. Allerdings seien wohl nicht alle GitLab-Repositories des Unternehmens gestohlen worden. Demnach blieb ein kleiner Teil des Quellcodes unangetastet.

In der Kompressions-Bibilothek XZ wurde eine Sicherheitslücke entdeckt. Die lässt sich wahrscheinlich zum Einschleusen von Schadcode missbrauchen. Aktualisierter Quellcode steht bereit, der muss es nun in aktualisierte Software schaffen.

Die Schwachstelle behandelt eine Sicherheitsmitteilung auf Github. "Ungültige Eingabedaten können zumindest in einen Absturz münden", erklären die Autoren. "Die Effekte umfassen eine Nutzung des Heaps nach einer free-Operation sowie das Schreiben an eine Adresse basierend auf dem Null-Pointer zuzüglich eines Offsets", schreiben sie weiter. Apps und Bibliotheken, die die Funktion lzma_stream_decoder_mt nutzen, sind betroffen (CVE-2025-31115, CVSS 8.7, Risiko "hoch").

Der Single-Thread-Decoder lzma_stream_decoder weist den sicherheitsrelevanten Fehler nicht auf. Der kommt etwa beim Aufruf von xz --decompress --threads=1 oder von "xzdec" zum Einsatz, was jedoch eher selten derart genutzt werden dürfte. Die XZ-Tools kommen im Hintergrund an vielen Stellen und in vielen Projekten zum Einsatz – daher wohl auch die hohe Risikoeinstufung.

Den Fehler korrigieren die XZ-Utils in Version 5.8.1 und neuer. Die Patches haben die Entwickler auch für die älteren Entwicklungszweige 5.4, 5.6, 5.8 und dem "master"-Branch des xz-Git-Repository (zurück-)portiert. Für die alten "stable"-Branches gibt es keine neuen Release-Pakete, aber einen Standalone-Patch verlinkt die Sicherheitsmitteilung auch hierfür.

Die XZ-Utils aktualisieren mehrere Linux-Distributionen bereits. Da sie jedoch auch in diversen anderen Softwarepaketen zum Einsatz kommen, etwa in SSH, müssen diverse Apps und Dienste Aktualisierungen vornehmen und verteilen. Das betrifft natürlich auch diverse Programme, die unter macOS und Windows laufen.

Angreifer können an einer Sicherheitslücke in Winrar ansetzen und Windows-PCs mit Schadcode attackieren. In der aktuellen Version haben die Entwickler die Schwachstelle geschlossen.

Auf die Lücke ist das japanische JPCERT gestoßen. In einem Bericht schreiben sie, dass davon alle Winrar-Versionen betroffen sind. Die Winrar-Ausgabe 7.11 ist gegen mögliche Attacken gerüstet. Bislang gibt es keine Hinweise auf laufende Attacken. In der aktuellen Version haben die Entwickler nicht nur das Sicherheitsproblem gelöst, sondern auch einige Bugs gefixt. Wie aus dem Changelog hervorgeht, haben sie unter anderem den Umgang mit CAB-Archiven optimiert.

Die Lücke (CVE-2025-31334 "mittel") schrammt mit einem CVSS Score von 6.8 nur knapp am Bedrohungsgrad "hoch" vorbei. Wenn Angreifer einen präparierten symbolischen Link erstellen, der auf eine ausführbare Datei mit Schadcode zeigt, können sie aufgrund der Schwachstelle den Windows-Sicherheitsmechanismus Mark-of-the-Web (MotW) umgehen. Der sorgt unter anderem dafür, dass Windows beim Öffnen von aus dem Internet heruntergeladenen Dateien eine Sicherheitswarnung anzeigt, dass die Datei potenziell gefährlich sein könnte.

In diesem Fall wird MotW umschifft und Opfer führen Schadcode aus. Standardmäßig können aber nur Admins unter Windows symbolische Links erstellen. Diese Hürde ist offensichtlich der Grund für die Einstufung des Bedrohungsgrads der Lücke.

MotW-Lücken sorgen immer wieder für Schlagzeilen. Erst Anfang 2025 wurde bekannt, dass Angreifer so eine Lücke in 7-Zip ausgenutzt haben. Vor rund einem Jahr haben die Winrar-Entwickler ebenfalls eine MotW-Schwachstelle geschlossen.

Bitdefenders Virenschutz für das Geschäftsumfeld, GravityZone, ist von Schwachstellen betroffen, eine gilt gar als kritisches Sicherheitsrisiko. Betroffen ist die der Verwaltung dienende Console sowie der Update-Dienst.

Bitdefender warnt in einer Sicherheitsmitteilung vor der kritischen Lücke in der GravityZone Console. Demnach nutzt die Funktion sendMailFromRemoteSource in "Emails.php" die PHP-Funktion unserialize() auf benutzerübergebene Daten ohne weitere Prüfungen. Mit sorgsam präparierten Daten lassen sich dadurch PHP-Objekte einschleusen, Dateien schreiben und am Ende beliebige Befehle auf dem Host-System ausführen (CVE-2025-2244, CVSS 9.5, Risiko "kritisch").

Zudem können Angreifer eine Server-Side Request Forgery (SSRF) in der GravityZone-Console missbrauchen, um Überprüfmechanismen für Inhalte zu umgehen. Dies gelingt mit manipulierten DNS-Anfragen mit initialen Sonderzeichen, wenn die GravityZone-Console im Relay-Modus laufe. Das münde darin, dass fremder Code zur Ausführung gelangt, wenn das mit weiteren Schwachstellen verkettet wird (CVE-2025-2243, CVSS 6.9, Risiko "mittel").

Neben der Console ist jedoch auch Bitdefenders GravityZone Update Server von einer Sicherheitslücke betroffen, wie das Unternehmen in einer weiteren Sicherheitsmitteilung schreibt. Auch hier ist eine SSRF-Schwachstelle das Problem, die im Zusammenhang mit dem Relay-Modus auftreten kann. Das HTTP-Proxy-Modul, das auf Port 7074 lauscht, setzt auf eine Domain-Allow-List zum Beschränken ausgehender Anfragen. Enthalten Hostnamen ein Null-Byte (%00), lässt sich die Prüfung aus dem Tritt bringen. Mittels manipulierter Anfragen der Gestalt www.boese-domain.com%00bitdefender.com lassen sich die Allow-List-Prüfungen umgehen und Anfragen an beliebige Systeme senden (CVE-2025-2245, CVSS 6.9, Risiko "hoch").

Das Update auf Bitdefender GravityZone Console 6.41.2-1 soll die sicherheitsrelevanten Fehler ausbessern. Für den GravityZone Update Server steht als fehlerkorrigierte Fassung der Stand 3.5.2.689 oder neuer bereit. Bitdefender gibt an, dass es in der Regel automatisch erfolgt. Dennoch sollten Admins überprüfen, ob sie bereits auf diesem oder einem neueren Stand sind.