Comretix Blog

GitHub blockiert laut eigenen Angaben jede Minute mehrere Secrets wie Passwörter oder API-Schlüssel, die mit einem Push-Schutz gesichert sind. Dennoch bleiben Geheimnislecks weiterhin eine der häufigsten Ursachen für Sicherheitsvorfälle auf GitHub. Um dieser Entwicklung entgegenzuwirken, erweitert GitHub nun Sicherheitsfunktionen für Entwicklerinnen und Entwickler.

Wie zuvor schon angekündigt regelt GitHub ab April die Struktur und die Verfügbarkeit der Sicherheits-Suite GitHub Advanced Security (GHAS) neu. Des Weiteren bietet GitHub ein neues Scan-Tool an, um Entwicklerinnen und Entwickler dabei zu unterstützen, das Abfließen von Secrets zu verhindern.

Seit dem 1. April sind die Funktionen von GHAS auf die Einzelpakete GitHub Secret Protection (monatlich 19 US-Dollar) und GitHub Code Security (monatlich 30 US-Dollar) aufgeteilt und lassen sich unabhängig voneinander buchen. Zusammen sind beide damit genauso teuer wie das GHAS-Komplettpaket mit monatlich 49 US-Dollar.

Gleichzeitig hat GitHub die Zugänglichkeit der GHAS-Sicherheitsfunktionen verbessert. Während GHAS bislang nur bei GitHub Enterprise oder den Microsoft Azure DevOps-Tarifen zur Auswahl stand, bietet GitHub die beiden neuen Einzelpakete auch für GitHub Team an.

Ebenfalls seit Anfang April steht Entwicklerinnen und Entwicklern ein neues Scan-Tool für Enterprise Server ab GHES 3.18 zur Verfügung. Organisationen mit einem GitHub Team- oder Enterprise-Tarif können es ohne Aufpreis nutzen.

Seit dem 1. April ist zur Einreise nach Großbritannien eine elektronische, kostenpflichtige Genehmigung nötig, eine "Electronic Travel Authorisation" oder kurz ETA. Diese lässt sich auf einer offiziellen Webseite und in einer App anfordern.

Das LKA Niedersachsen warnt auf dem Portal polizei-praevention.de nun vor betrügerischen oder überteuerten Webseiten, die die Antragsstellung anbieten. Der Behörde liegen Hinweise zu Anzeigen von Personen vor, die eine Reise nach England geplant und die Webseite zur Beantragung der Einreisegenehmigung gesucht haben. Dadurch seien sie jedoch nicht auf der offiziellen Webseite gelandet, sondern bei Personen oder Webseiten, die unter anderem überteuerte Dienstleistungen zur ETA angeboten oder gar in betrügerischer Absicht Daten gesammelt und zu Zahlungen aufgefordert haben.

Laut LKA gibt es inzwischen mehrere Anbieter, die unterschiedlich seriöse Angebote dafür im Netz bereitstellen. In Suchergebnissen würden diese prominent platziert – es bleibt unklar, ob das durch SEO passiert oder geschaltete Werbung meint. Diejenigen, die sich darüber für einen England-Aufenthalt anmelden wollen, kommt es dann gegebenenfalls im Anschluss zur teuren oder gar bösen Überraschung, sofern sie nicht vorher Zweifel haben und den Vorgang abbrechen.

Es finden sich verschiedene Webseiten, die für diese Dienstleistung ein Vielfaches des eigentlichen "Originalpreises" auf der offiziellen Webseite in Höhe von rund 10 britischen Pfund, entsprechend derzeit etwa 12 Euro, verlangen. Die bisher aufgelaufenen Anzeigen nennen Beträge wie 70 oder sogar 200 britische Pfund.

Erschwerend kommt hinzu, dass persönliche, sensible Daten auf diesen Webseiten eingegeben werden müssen; das ist auch auf der Original-Webseite so. Was dort allerdings notwendig ist, fällt hier dann in Hände Dritter und kann damit auch an die Falschen geraten und so etwa für Phishing-Attacken oder Identitätsdiebstahl missbraucht werden. Wer auf solchen Webseiten einen Antrag stellt, läuft zudem Gefahr, dass der eigentliche Antrag nicht korrekt übermittelt werde. Es könne auch passieren, dass keine Einreisegenehmigung erfolgt oder Opfer lediglich eine gefälschte Genehmigung erhalten. Die offiziell benötigten Daten umfassen Kontaktdaten, Angaben zu Beruf und strafrechtliche Verurteilungen oder terroristische Handlungen, Reisepass-Foto und ein persönliches Foto – "solche Daten in fremden Händen wären für Cyberkriminelle viel Wert", schreiben die Strafverfolger.

Die speziell für anonymes Surfen im Netz entwickelte Linux-Distribution Tails ist in Version 6.14.1 erschienen. Sie verbessert die Integration des Tor-Browsers. Auch einige kleine Fehler haben die Entwickler korrigiert.

Wie die Maintainer des für den Start per [Link auf https://tails.net/news/version_6.14.1/index.en.html]USB-Stick ausgelegten Linux erklären, ist ihnen ein wichtiges Problem beim Test von Tails 6.14 aufgefallen, das sie rasch repariert und schließlich direkt Version 6.14.1 veröffentlicht haben.

Den zum anonymen Surfen wesentlichen Tor-Browser haben sie mit AppArmor an eine etwas längere Leine gelegt, was durch den Einsatz des neuen "XDG Desktop Portals" von Flatpak möglich wurde – das soll damit ohne Einschränkungen bei der Sicherheit möglich sein. Der Tor-Browser konnte zuvor lediglich in bestimmte Ordner schreiben und von dort lesen. Durch die Änderungen ist nun der sichere Zugriff auf alle Ordner im Home-Verzeichnis oder persistenten Speicher möglich. Es lassen sich nun auch weitere Funktionen für die Barrierefreiheit nutzen, etwa die große Text-Anzeige, änderbare Cursor-Größe und auch die Schaltflächen zum Minimieren und Maximieren sind wieder verfügbar.

Weitere kleinere Zipperlein, die die neue Version ausbessert, sind etwa ein möglicherweise einfrierender Willkommen-Bildschirm nach dem Aufsperren des persistenten Speichers, die Ergänzung einer klareren Begrenzung des Kleopatra-Fensters, wenn dieses vor einem weißen Hintergrund ist, oder eine Fehlermeldung, die aufkommt, wenn man in "Über Trails" nach Updates sucht. Zudem sind die Kernkomponenten wieder auf neuem Stand: Tor-Browser ist auf Stand 14.0.9, der Tor Client hingegen bei Version 0.4.8.16 angekommen.

Anfang März kam zudem Tails 6.13 heraus. Darin hatten die Entwickler den Tor-Verbindungsassistent aufgebohrt und einen Nachricht für den Fall hinzugefügt, dass keine WLAN-Hardware erkannt wurde.

In der Anyconnect-VPN-Software von Ciscos Meraki MX- und Z-Reihen sowie in Enterprise Chat and Email haben die Entwickler Sicherheitslücken mit hohem Risiko entdeckt. Aktualisierte Firm- und Software steht bereit, um sie zu schließen. Admins sollten sie zügig installieren.

Mit gültigen VPN-Zugangsdaten können bösartige Akteure in dem Anyconnect-VPN-Dienst von Ciscos Meraki MX- und Z-Geräten einen Denial-of-Service (DoS) provizieren, erörtert der Hersteller in einer Sicherheitsmitteilung. Das gehe darauf zurück, dass eine Variable beim Aufbau einer SSL-VPN-Sitzung nicht initialisiert werde, wodurch Angreifer manipulierte Attribute übergeben können. Das kann zum Neustart des Dienstes führen, wodurch auch andere VPN-Sitzungen in Mitleidenschaft gezogen werden (CVE-2025-20212, CVSS 7.7, Risiko "hoch").

In der Sicherheitsmitteilung listet Cisco diverse verwundbare Geräte. Für die einzelnen Firmware-Zweige gibt es Aktualisierungen, die Versionen 18.107.12 (für 18.1-Branch), 18.211.4 (für 18.2-FIrmwares) und 19.1.4 schließen die Sicherheitslecks. Firmwares vor 16.2 sind nicht anfällig, 16.2er- und 17er-Fassungen sollen auf die fehlerkorrigierten Entwicklungszweige migrieren.

In Ciscos Enterprise Chat and Email (ECE) können nicht authentifizierte Angreifer aus dem Netz einen Denial-of-Service provozieren. Daran ist laut Ciscos Warnung eine unzureichende Prüfung von User-übergebenen Daten an Chat-Entry-Points schuld. Durch das Senden manipulierter Anfragen können bösartige Akteure den Chat-Dienst lahmlegen, der sich zudem nicht automatisch davon erhole, sondern einen Neustart durch Admins benötigt (CVE-2025-20139, CVSS 7.5, Risiko "hoch").

Cisco stellt ECE 12.6 ES 10 als Software-Update bereit, das die Schwachstelle ausbessern soll. Wer die Software in Version 12.5 oder älter einsetzt, soll dennoch auf diesen Stand aktualisieren.

Eine Schadcode-Sicherheitslücke betrifft Apache Parquet. Das spaltenbasierte Open-Source-Dateiformat wird im Big-Data-Kontext eingesetzt, um Daten effizienter zu speichern und abzufragen. Ein Sicherheitspatch steht zum Download bereit.

Wie aus einem Eintrag in der Openwall-Mailingliste hervorgeht, haben die Entwickler die Schwachstelle in der Version 1.15.1 geschlossen. Alle vorigen Ausgaben sind verwundbar. Die Lücke (CVE-2025-30065) gilt als "kritisch" und ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sie betrifft konkret das parquet-avro-Modul der Java-Bibliothek von Apache Parquet.

Wie Sicherheitsforscher von Endor Labs in einem Bericht darlegen, können Angreifer mit präparierten Dateien an der Schwachstelle ansetzen. Aufgrund von unzureichenden Überprüfungen werden diese verarbeitet und es gelangt Schadcode auf Systeme. Im Anschluss können Angreifer unter anderem Malware installieren und Computer vollständig kompromittieren.

Die Forscher gehen davon aus, dass alle Applikationen, die Apache Parquet nutzen, angreifbar sind. Das betrifft somit auch Systeme, die Parquet-Dateien im Kontext von Big-Data-Frameworks wie Hadoop oder Spark verarbeiten. Admins sollten unbedingt prüfen, ob sie Apache Parquet an irgendeiner Stelle nutzen.

Bislang gibt es den Forschern zufolge keine Hinweise auf Angriffe. Aufgrund der kritischen Einstufung der Lücke sollten Admins das Sicherheitsupdate aber so schnell wie möglich installieren. Ist das nicht umgehend möglich, sollte die Verarbeitung von Parquet-Dateien streng überwacht werden. Demzufolge sollte ein lückenloses Monitoring und Logging stattfinden.

Bei koordinierten Angriffen auf die wichtigsten Pensionsfonds in Australien haben Kriminelle offenbar personenbezogene Daten erbeutet und zumindest scheinbar ganze Accounts leer geräumt. Das berichtet der Nachrichtensender ABC und erklärt, dass die Konten einiger Betroffener den Anschein erwecken, als seien allein bei vier Personen 500.000 australische Dollar (etwa 280.000 Euro) abgegriffen worden. Der betroffene Rentenfonds namens AustralianSuper hat die Angriffe eingestanden, versichert aber, dass die Konten sicher seien und die Anzeige eines Vermögens von 0 Dollar falsch sei. Ähnliche Vorgänge gibt es demnach bei anderen großen Pensionsfonds, alle hätten aber versichert, dass niemand seine Ersparnisse verloren habe.

Weitere Hintergründe zu den Vorfällen gibt es bislang nicht, lokale Medien berichten aber von erschrockenen Kunden und Kundinnen, denen der Blick in ihre Accounts einen gehörigen Schreck eingejagt hat. "Sehr beunruhigend, wenn man auf seinem Rentenkonto an einem Freitag plötzlich 0 Dollar hat", zitiert ABC einen Betroffenen. AustralianSuper hat erklärt, dass temporär der gesamten Kundschaft die Möglichkeit entzogen wurde, Bank- und einige Kontaktdaten zu ändern. Alle sollten überprüfen, ob ihre eingestellten Bankdaten korrekt sind. Zusammen mit der Information von ABC, dass einige Daten kompromittiert wurden, deutet das sehr wohl darauf hin, dass die unbekannten Kriminellen Zugriff auf mindestens einige Accounts erlangt haben.

Die betroffenen Fonds-Betreiber arbeiten demnach mit der nationalen Cybersicherheitsbehörde zusammen. Laut ABC war allein AustralianSuper im vergangenen Monat Ziel von 600 "versuchten Cyberangriffen", ohne das klar wird, was alles darunter fällt. Wer jetzt verdächtige Aktivität in seinem Konto bemerkt, soll sich telefonisch melden, schreibt das Unternehmen noch. Gleichzeitig weist es aber auch darauf hin, dass das aktuelle so viele Menschen versuchen würden, dass man sich dann auf "extrem lange" Wartezeiten einstellen müsse. Geäußert hat sich auch bereits Australiens Premierminister. Anthony Albanese erklärte demnach, dass er über den Vorfall unterrichtet wurde, Cyberattacken aber extrem häufig vorkommen würden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die interne Aufsicht des US-Verteidigungsministeriums untersucht die Veröffentlichung von Inhalten aus einem geheimen Gruppenchat hochrangiger Regierungsmitglieder. Auf Anfrage des Streitkräfteausschusses im Senat wird der Umgang des Verteidigungsministers Pete Hegseth mit der Signal-App geprüft, wie aus einem Schreiben der unabhängigen Kontrollinstanz hervorgeht.

Demnach soll untersucht werden, ob Hegseth unzulässigerweise operative Pläne für einen US-Militäreinsatz gegen die Huthi-Miliz im Jemen über die kommerzielle App teilte – und ob dabei Vorschriften zur Geheimhaltung sowie zur Aufbewahrung von Regierungsunterlagen eingehalten wurden. Auch das Handeln anderer Ministeriumsmitarbeiter steht laut dem Schreiben im Fokus.

Ende März hatte das US-Magazin The Atlantic die Inhalte des Chats öffentlich gemacht, nachdem dessen Chefredakteur – vermutlich versehentlich – in die Signal-Gruppe eingeladen worden war. Aus der weitergegebenen Kommunikation geht hervor, dass Hegseth etwa eine halbe Stunde vor Beginn einer Militäroperation den Zeitplan, die Abfolge der Bombardierung und eingesetzte Waffensysteme nannte. Wörtlich heißt es unter anderem: "Zielterrorist befindet sich an seinem bekannten Aufenthaltsort."

In ihrer Anfrage an die Pentagon-Aufsicht hatten der republikanische Senator Roger Wicker und der demokratische Senator Jack Reed erhebliche Bedenken geäußert. Es bestehe der Verdacht einer "Nutzung nicht klassifizierter Netzwerke für die Kommunikation über sensible und als geheim eingestufte Informationen".

Zumindest öffentlich stellte sich US-Präsident Donald Trump zuletzt hinter die Mitglieder der Chatgruppe, der auch sein Sicherheitsberater Mike Waltz angehörte. Dieser hatte den Atlantic-Chefredakteur offenbar unbeabsichtigt in die Runde eingeladen. Hinter den Kulissen gibt es laut New York Times jedoch durchaus Unmut innerhalb der Regierung.

Die Entwickler haben ein Problem in der VPN-Software Connect Secure (ICS) zunächst falsch als einfachen Bug eingeschätzt. Nun stellt sich heraus, dass es sich um eine veritable, kritische Sicherheitslücke handelt, die Cyberkriminelle bereits auf dem Schirm haben und für Angriffe auf verwundbare Systeme missbrauchen.

In einer Sicherheitsmitteilung warnt Ivanti vor den beobachteten Angriffen auf die Schwachstelle und räumt die zunächst vorgenommene Fehleinschätzung ein. Es handelt sich demnach um einen nicht detaillierter erklärten, Stack-basierten Pufferüberlauf. Angreifer können ihn ohne vorherige Authentifizierung aus dem Netz missbrauchen, um Schadcode einzuschleusen und auszuführen (CVE-2025-22457, CVSS 9.0, Risiko "kritisch").

Googles IT-Sicherheitstochterfirma Mandiant hat die seit Mitte März beobachteten Angriffe auf das Sicherheitsleck zusammen mit Ivanti untersucht. Sie lassen sich laut Mandiants Analyse auf eine Cyber-Bande aus China zurückführen. Diese habe dabei einen nur im Speicher aktiven Dropper namens "Trailblaze" sowie eine passive Backdoor mit der Bezeichnung "Brushfire" auf den ICS-Instanzen eingerichtet. Auch die Verteilung von Malware aus dem "Spawn"-Ökosystem haben die IT-Forscher beobachtet, die der APT-Gruppierung UNC5221 zugeordnet wird, die chinesischen Ursprungs ist.

Ivanti räumt die ursprüngliche Fehleinschätzung unumwunden ein: "Diese Schwachstelle wurde in Ivanti Connect Secure 22.7R2.6 (am 11. Februar 2025 herausgegeben) vollständig gepatcht und ursprünglich als Bug im Produkt identifiziert". Das Unternehmen erklärt auch, wie es dazu kam: "Bei der Schwachstelle handelt es sich um einen Pufferüberlauf, der auf die Zeichen Punkt und Zahlen beschränkt ist. Die Programmierer haben abgewägt, dass die Schwachstelle nicht zum Einschleusen und Ausführen von Code aus der Ferne ausgenutzt werden kann und auch nicht die Voraussetzungen für einen Denial-of-Service erfüllt." Ivanti und IT-Sicherheitspartner haben nun festgestellt, dass mit geschickten Methoden ein Missbrauch möglich und in freier Wildbahn zudem bereits erfolgt ist.

Der Hersteller erklärt außerdem: "Uns ist eine begrenzte Anzahl von Kunden bekannt, deren Ivanti Connect Secure (22.7R2.5 oder früher) und End-of-Support Pulse Connect Secure 9.1x Appliances zum Zeitpunkt der Veröffentlichung der Schwachstelleninformation ausgenutzt wurden." Ivanti empfehle allen Kunden, so schnell wie möglich sicherzustellen, dass sie Ivanti Connect Secure 22.7R2.6 einsetzen, das die Sicherheitslücke abdichtet.

In der aktuellen Episode des c't-Datenschutz-Podcasts steht der European Health Data Space (EHDS) im Fokus. Die EU-Verordnung zu einem gemeinsamen Gesundheitsdatenraum ist am 26. März in Kraft getreten und wird ab März 2027 schrittweise wirksam. Ziel des ambitionierten Projekts ist es, elektronische Gesundheitsdaten in ganz Europa einfacher zugänglich zu machen – sowohl für Patienten als auch für Ärzte, Forschung und Wirtschaft. Doch was bedeutet das konkret für den Schutz von sensiblen Patientendaten?

(Bild: Dr. Kristina Schreiber beim Podcasten in ihrer Kanzlei)

c't-Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich haben dazu Rechtsanwältin Dr. Christina Schreiber eingeladen. Sie ist Spezialistin im Datenschutzrecht mit Schwerpunkt im Gesundheitswesen und erläutert die Hintergründe und Auswirkungen des EHDS. Laut Schreiber bekommen Patienten künftig leichter Zugriff auf ihre medizinischen Daten und können diese digital auch für Ärzte im EU-Ausland zur Verfügung stellen. Einen zentralen Speicherort gibt es dabei nicht; die Daten bleiben dezentral in Arztpraxen und Kliniken gespeichert und werden nur bei Bedarf digital zusammengeführt.

Ein wesentlicher Teil der Verordnung regelt die sogenannte Sekundärnutzung. So sollen Forscher, Behörden und auch Unternehmen Zugriff auf anonymisierte oder pseudonymisierte Gesundheitsdaten erhalten, um die medizinische Versorgung zu verbessern, neue Therapien zu entwickeln und Gesundheitssysteme effizienter zu gestalten. Eine unabhängige Behörde in jedem Mitgliedsstaat soll künftig prüfen, wer wann welche Daten zu welchen Zwecken verwenden darf – stets unter Berücksichtigung der DSGVO.

Angesichts der ambitionierten Ziele sieht Schreiber große Herausforderungen. Vor allem die technische Umsetzung sei komplex, und es brauche ausreichend Ressourcen, um die geplanten hohen Datenschutz- und Sicherheitsstandards in der Praxis zu erreichen. Hinzu kommen unterschiedliche nationale Regelungen: In Skandinavien etwa ist die Datenfreigabe für Gesundheitszwecke nahezu selbstverständlich, während Deutschland stärker auf individuelle Zustimmung setzt.

Admins von Softwareentwicklungsumgebungen sollten die Jenkins-Plug-ins AsakusaSatellite, Cadence vManager, monitor-remote-job, Simple Queue, Stack Hammer und Templating Engine auf den aktuellen Stand bringen. Es sind aber bisher nicht alle Sicherheitspatches erschienen. Zusätzlich haben die Entwickler Schwachstellen im Jenkins Core geschlossen.

Weiterführende Informationen zu den betroffenen Plug-ins sind in einer Warnmeldung aufgelistet.

Am gefährlichsten gilt eine Lücke (CVE-2025-31722 "hoch") in Templating Engine. Verfügen Angreifer über Item/Configure-Berechtigungen, können sie den Sandboxschutz umgehen und im Kontext des Jenkins Controllers JVM Schadcode ausführen.

Stack Hammer (CVE-2025-31726 "mittel") und vManager (CVE-2025-31724 "mittel") speichern API-Schlüssel im Klartext. Außerdem können Angreifer auf unverschlüsselte Passwörter zugreifen (monitor-remote-job, CVE-2025-31725 "mittel").

Diese Sicherheitspatches sind bereits verfügbar:

Das Team des Nationalen Sicherheitsberaters der US-Regierung richtet regelmäßig Gruppenchats auf Signal ein, um sicher über Krisen in aller Welt auszutauschen. Das berichtet das US-Politikmagazin Politico unter Berufung auf vier anonyme Personen, die alle zu einem oder mehreren dieser Chats eingeladen wurden. Insgesamt gibt es demnach mindestens 20 solcher Gruppenchats. Die Nutzung von Signal auch für Amtsgeschäfte ist demnach in der US-Regierung weiter verbreitet als bislang bekannt. Alle vier Quellen haben demnach sensible Informationen aus dem Bereich nationaler Sicherheit in solchen Chats gesehen, geheime Informationen wurden demnach aber wohl nicht dort ausgetauscht.

Der Rückgriff hochrangiger Vertreter und Vertreterinnen der US-Regierung auf den Signal-Messenger ist vorige Woche in den Fokus der Öffentlichkeit gerückt. Da wurde bekannt, dass Minister und hochrangige Personen geheime Informationen über US-Militärangelegenheiten über Signal ausgetauscht haben. Das war nur öffentlich geworden, weil mit dem Chefredakteur von The Atlantic ein Journalist Teil des Gruppenchats war. Laut US-Berichten hat Trump nach den Enthüllungen darüber nachgedacht, Michael Waltz deswegen zu entlassen, sich dann aber dagegen entschieden, weil das als Sieg der Presse gewertet werden könnte. Der Nationale Sicherheitsberater hat die Gruppe eingerichtet und den Journalisten eingeladen.

Dass die Nutzung von Signal in der US-Regierung auch für amtliche Kommunikation offenbar weitverbreitet ist, ist aus verschiedenen Gründen potenziell problematisch. Einerseits haben die Beteiligten im Fall des ersten bekannt gewordenen Gruppenchats über eine nicht dafür autorisierte App geheime Informationen geteilt. Dabei gibt es für derartige Kommunikation speziell abgesicherte Geräte und vorgeschriebene Kommunikationswege. Andererseits gibt es den Verdacht, dass die Beteiligten auch deshalb Signal benutzen, weil damit die gesetzlich vorgeschriebenen Pflichten zur Archivierung umgangen werden können. So war in dem Gruppenchat eingestellt, dass Beiträge nach bestimmten Fristen automatisch gelöscht werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sicherheitsupdates für Windows, ohne das Betriebssystem neu starten zu müssen: Was Windows-Server bereits länger können, ist ab jetzt auch für Windows 11-Clients verfügbar. Hotpatching ermöglicht die Installation von Aktualisierungen ohne zwingend nötigen Neustart.

Die Anzeige nach der Installation der Hotpatching-Updates weist darauf hin, dass das System ohne Neustart abgesichert wurde.

(Bild: Microsoft)

In einem Blog-Beitrag von Microsofts Techcommunity kündigt das Unternehmen sofortige Verfügbarkeit der Technik an. Demnach kann Windows 11 Enterprise 24H2 für x64-Prozessorarchitekturen, also AMD- und Intel-CPUs nun abgesichert werden, ohne einen Neustart zu erfordern.

Die Vorteile von Hotpatching sind offensichtlich, aber Microsoft zählt sie noch mal auf. Das System erhält umgehenden Schutz, da Sicherheitslücken direkt gestopft werden. Der Sicherheitslevel bleibt konstant, er ist auf demselben Niveau wie mit den monatlichen Standard-Sicherheitsupdates, die einen Neustart zur Aktivierung der neuen Software benötigen. Die Arbeitsunterbrechung werden damit zudem minimiert.

Eine gemeinnützige Organisation aus den USA will im Rahmen eines Versuchs Belohnungen für die Entdeckung und verantwortungsvolle Offenlegung von Sicherheitslücken in Software des Fediverse bezahlen. Wie die Nivenly Foundation sollen an Individuen, je nach Schweregrad der gefundenen Lücken, 250 oder 500 US-Dollar bezahlt werden. Insgesamt stehen dafür bis Ende September 5000 US-Dollar zur Verfügung. Danach soll entschieden werden, ob und wie das Programm fortgeführt werden soll. Von dem Experiment sollen Projekte wie Mastodon, Pixelfed, Peertube, Misskey, Lemmy, Diaspora und andere profitieren.

Der Versuch geht auf den Fund einer Sicherheitslücke bei Pixelfed zurück, für deren Behebung die Organisation bereits Geld bezahlt hat, berichtet TechCrunch. Erst vor wenigen Tagen hat sich der Pixelfed-Entwickler Daniel Supernault öffentlich für den Umgang mit einer weiteren Lücke entschuldigt, die er zwar rasch geschlossen habe, dabei aber nicht richtig vorgegangen sei. Ein Ziel des Experiments der Nivenly Foundation sei es deshalb auch, den Verantwortlichen für Fediverse-Software dabei zu helfen, etablierte Praktiken beim Umgang mit Sicherheitslücken zu befolgen. Die Voraussetzungen für die Teilnahme an dem Versuch hat die Organisation in einem Text zusammengefasst.

Als Fediverse wird ein Verbund aus unterschiedlichen sozialen Netzwerken bezeichnet, die über das Kommunikationsprotokoll ActivityPub verknüpft sind. Als bekanntester Teil hat sich in den vergangenen Jahren der Kurznachrichtendienst Mastodon etabliert, der sich am alten Twitter orientiert. Es gibt aber auch Dienste, die wie das frühere Instagram Fotos in den Mittelpunkt stellen (Pixelfed), einen sozialen Austausch wie auf Facebook (Friendica) ermöglichen sollen oder eine Alternative zu Reddit etablieren wollen (Lemmy). Für die Software sind meist kleine Teams oder Einzelpersonen verantwortlich, denen die Nivenly Foundation nun unter die Arme greifen will.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

AMD spendiert jüngeren Prozessoren Peripherie zum beschleunigten Rechnen für Künstliche Intelligenz, was das Unternehmen als Ryzen AI bezeichnet. Die zugehörige Software und Treiber weisen hochriskante Sicherheitslücken auf. Betroffene sollten zügig die aktualisierte Software installieren, die AMD bereitstellt.

In einer Sicherheitsmitteilung vom Mittwoch warnt AMD vor den Schwachstellen. Insgesamt vier Sicherheitslecks klaffen in der KI-Software. Die gravierendsten Schwachstellen finden sich im NPU-Treiber (Neural Processing Unit) von AMD. Bei allen dreien handelt es sich um Ganzzahl-Überläufe (Integer Overflow), was Angreifern ermöglicht, außerhalb vorgesehener Speichergrenzen zu schreiben und so offenbar etwa Schadcode auszuführen – AMD beschreibt lediglich die Auswirkung der Lücke als "Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit" (CVE-2024-36336, CVE-2024-36337, CVSS 7.9, Risiko "hoch"; sowie CVE-2024-36328, CVSS 7.3, Risiko "hoch").

Entwickler, die KI-Software mit dem SDK Ryzen AI Software entwickeln, sind zudem anfällig für eine Schwachstelle, die Angreifern die Ausweitung ihrer Rechte und die Ausführung beliebigen Codes ermöglicht. Ursache dafür sind falsch gesetzte Standardberechtigungen im Installationspfad der Ryzen AI Software (CVE-2025-0014, CVSS 7.3, Risiko "hoch").

Aktualisierte Software und Treiber stopfen die Sicherheitslecks. Auf der Ryzen-AI-Webseite von AMD stehen für beide Komponenten Updates bereit. Der aktuelle NPU-Treiber lässt sich mit einem Konto bei AMD und dem Abnicken einer Lizenzvereinbarung herunterladen.

Die Installation des Treiber-Updates an der administrativen Eingabeaufforderung.

Eigentlich sollen Trend Micros IT-Schutzlösungen Apex Central und Deep Security Agent Computer vor Cyberattacken bewahren. Aufgrund mehrerer Sicherheitslücken in den Windows-Versionen können sie aber nun als Einfallstor für Angreifer dienen. Admins sollten die verfügbaren Sicherheitspatches zeitnah installieren. Noch gibt es keine Berichte über Attacken.

Aus einer Warnmeldung geht hervor, dass Apex One über drei Schwachstellen (CVE-2025-30678 "mittel", CVE-2025-30679 "mittel", CVE-2025-30680 "hoch") attackierbar ist. Mittels Server-side-Request-Forgery-Attacken (SSRF) können Angreifer über präparierte Anfragen unbefugt auf interne Ressourcen zugreifen. Wie so eine Attacke im Detail ablaufen könnte und welche konkreten Daten gefährdet sind, führen die Entwickler derzeit nicht aus.

Die Entwickler versichern, die Lücken in Apex Central (on-prem) Build 6955 und in Apex Central (SaaS) March 2025 Monthly Maintenance Release geschlossen zu haben.

Deep Security Agent ist in der Version 20.0 über drei Lücken (CVE-2025-30640 "hoch", CVE-2025-30641 "hoch", CVE-2025-30642 "mittel") angreifbar, führen die Entwickler in einem Beitrag aus. Damit Attacken möglich sind, benötigt ein Angreifer aber bereits niedrige Rechte auf einem Zielsystem. Ist das gegeben, kann er sich höhere Nutzerrechte aneignen oder DoS-Zustände auslösen.

Auch hier gibt es bislang keine Hinweise auf laufende Attacken. Admins sollten mit der Installation der abgesicherten Ausgabe 20.0.1-25770 aber nicht zu lange zögern.

Eine schwerwiegende Sicherheitslücke in Apache Tomcat ermöglicht Angreifern, Schadcode einzuschleusen. Das machen Angreifer derzeit auch – höchste Zeit für IT-Verantwortliche, die verfügbaren Sicherheitsupdates anzuwenden.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor den beobachteten Angriffen auf die Schwachstelle. Wie üblich erörtert sie jedoch nicht bezüglich Art und Umfang der Attacken. Es ist daher derzeit unklar, wie Admins erkennen können, ob ihre Systeme angegriffen oder sogar kompromittiert wurden.

Die Schwachstelle findet sich in der Verarbeitung von partiellen PUT-Anfragen. Ursache ist ein intern verwendeter Punkt in einem Dateipfad, erörtern die Apache-Tomcat-Entwickler in einer eigenen Sicherheitsmitteilung. "Die ursprüngliche Implementierung von partiellem PUT verwendete eine temporäre Datei, die einen vom Benutzer angegebenen Dateinamen und -pfad verwendete, wobei das Pfad-Trennzeichen durch einen Punkt '.' ersetzt wurde", fassen sie das Problem dort zusammen (CVE-2025-24813, CVSS 9.8, Risiko "kritisch").

Die Entwickler geben als Lösung an, dass Admins auf die fehlerkorrigierten Apache-Tomcat-Versionen 9.0.99, 10.1.35 sowie 11.0.3 oder neuere aktualisieren sollen. Das dichtet die Sicherheitslecks ab.

Ein Exploit wurde vor etwa drei Wochen veröffentlicht, der den Missbrauch der Schwachstelle demonstriert. Ob die beobachteten Angriffe auf Apache-Tomcat-Server darauf fußen, ist jedoch unklar. Admins sollten die verfügbaren Software-Updates jedoch umgehend installieren, sofern das noch nicht geschehen ist.

In dem beliebten, weil preisgünstigen Roboterhund Unitree Go1 klaffen zwei Sicherheitslücken. Angreifer könnten sie dazu nutzen, um den Roboter zu übernehmen und aus der Ferne zu steuern. Bei einigen Einsatzzwecken, wie etwa militärischen Anwendungen, wäre das fatal.

Der Roboterhund Go1 ist aufgrund seines niedrigen Preises ab etwa 2700 US-Dollar ein beliebter vierbeiniger Roboter und wird gerne zu Forschungszwecken verwendet. Aber auch das Militär hat seinen Wert erkannt, wie etwa das U.S. Marine Corps, das den Roboter im Jahr 2023 testweise mit einem Maschinengewehr ausgestattet hat, um mit ihm gepanzerte Fahrzeuge aus der Ferne zu bekämpfen und ihn in urbanen Gebieten für den Orts- und Häuserkampf zu verwenden.

Der Go1 benutzt einen Raspberry Pi für einen Teil der Robotersteuerung. Beim Booten stellt er eine Verbindung zu dem Fernwartungsdienst Cloudsail über einen automatischen Start her. Mit einem API-Schlüssel des Herstellers ist darüber ein Zugriff auf den Roboter möglich, sofern der Schlüssel den Angreifern bekannt ist. Die Steuerung des Roboters kann so über diese Backdoor übernommen werden, wie ein Sicherheitsspezialist in einem Video auf GitHub zeigt. Besitzer des Go1 wissen von diesem undokumentierten aktiven Fernwartungsdienst nichts. Die Sicherheitslücke ist mit dem Schweregrad "mittel" ausgewiesen und hat den Wert 6.6, steht also kurz vor einem hohen Schweregrad ab 7 (CVE-2023-2894).

Bereits im Dezember 2023 hat ein Sicherheitsforscher auf diese Sicherheitslücke via X aufmerksam gemacht. Unitree hat darauf sehr spät reagiert und den API-Schlüssel mehr als ein Jahr später zurückgenommen. Security-Spezialisten der Austin Hackers Association (AHA) empfehlen jedoch, den Cloudsail-Dienst auf dem Go1 komplett abzuschalten. Denn auf dem verwendeten Raspberry Pi kann ein Zugriff über eine weitere Backdoor erfolgen. Mit dem Benutzernamen "pi" und dem Passwort "123", die allgemein bekannt sind, ist dann der Zugang möglich. Eine Änderung der Zugangsdaten als Abhilfe ist dagegen wenig hilfreich. Dies soll dazu führen, dass einige Skripte auf den Roboterhund, die auf das Passwort angewiesen sind, nicht korrekt ausgeführt werden. Der Go1 funktioniert dann nicht einwandfrei.

Das Problem ist derzeit ausschließlich für den Roboterhund Unitree Go1 nachgewiesen. Unitree hat bereits den Nachfolger Go2 auf den Markt gebracht. Bisher ist nicht bekannt, ob dieser Roboter die gleichen Probleme aufweist.

Das kanadische IT-Unternehmen Blackberry meldet schrumpfende Umsätze. Im Ende Februar abgeschlossenen Finanzjahr 2025 hat Blackberry 535 Millionen US-Dollar umgesetzt, fast 30 Prozent weniger als im Finanzjahr davor. Im Laufenden soll es jedenfalls nicht mehr werden, das Management prophezeit einen weiteren Rückgang auf 504 bis 534 Millionen Dollar.

Weil Finanzanalysten deutlich andere Erwartungen hatten, wurde die Blackberry-Aktie nach Bekanntgabe der Finanzzahlen am Mittwoch abgestraft. Zwischenzeitlich lag der Kurs mehr als 20 Prozent unter dem Vortagesschluss, zum Handelsschluss stand immer noch ein Minus von über neun Prozent zu Buche. Es ist der erste Jahresbericht, für den Blackberry-CEO John J. Giamatteo zur Gänzeverantwortlich ist.

Blackberry (vormals Research in Motion, RIM) ist schon lange nicht mehr im Smartphone-Geschäft, sondern hat zwei Geschäftsbereiche: Software für das Internet der Dinge samt vernetzten Kraftfahrzeugen (QNX) sowie Software für IT-Sicherheit (Secure Communications). Zusätzlich lizenziert die Firma ihr Portfolio aus Immaterialgüterrechten.

Die Lizenzeinnahmen sind besonders stark betroffen. Der Jahresumsatz ist um 90 Prozent auf 26,3 Millionen Dollar eingebrochen. Für das laufende Jahr erwartet Blackberry um die 24 Millionen Dollar, also noch einmal rund ein Zehntel weniger.

Der Umsatz mit IT-Sicherheitslösungen ist um vier Prozent auf 272,6 Millionen Dollar gefallen. Der Trend verstärkt sich, nicht zuletzt, weil Blackberry im Dezember die Tochterfirma Cylance verkauft hat, aber auch weil viele Kunden den Sparstift gerade bei der IT-Sicherheit ansetzen. 230 bis 240 Millionen Dollar Umsatz sollen es im Finanzjahr 2026 werden.

Experten stellen dem deutschen Gesundheitswesen oft ein schlechtes Zeugnis bei der IT-Security aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in einer jetzt veröffentlichten Bestandsaufnahme des Jahres 2024 zu einem anderen Schluss: Insgesamt sei “das Niveau der Informationssicherheit im digitalen Gesundheitswesen grundsätzlich als positiv zu bewerten". Und das, "obwohl die Gefährdungslage für Digitalisierungsprojekte" zugenommen habe.

"Herausfordernd" sei das vergangene Jahr angesichts der laufenden Digitalisierung des Gesundheitssystems aber schon gewesen, räumt das BSI ein. So war das BSI etwa an der Entwicklung der Sicherheitsarchitektur für die ePA beteiligt. Dabei sei es – teils zusammen mit der für die Telematik-Infrastruktur (TI) zuständigen Gematik – allen Meldungen zu möglichen Schwachpunkten nachgegangen. Dies habe etwa zu Anpassungen in den Spezifikationen geführt.

Auf dem Jahreskongress des Chaos Computer Clubs (CCC) im vergangenen Dezember hatten Sicherheitsforscher diverse Sicherheitsmängel bei der elektronischen Patientenakte (ePA) aufgezeigt. Diese sind in dem vorliegenden Bericht aber nicht berücksichtigt.

Die Sicherheit klassischer Medizinprodukte bewegt sich laut dem Report "auf einem gleichbleibend hohen Niveau", auch wenn eine Untersuchung von Krankenhausinformationssystemen dort gerade Probleme ausgemacht hat. Ein nur schwierig einschätzbarer Bereich ist der Bonner Behörde zufolge die Sicherheit der knapp 140.000 Arztpraxen in Deutschland. Dies liege an der breiten Heterogenität der IT-Ausstattung sowie an nicht vorhandenen standardisierten Meldewegen für Sicherheitsvorfälle.

Dass für Praxen keine einheitliche Hard- und Software beschafft werde, sei prinzipiell von Vorteil für die IT-Sicherheit, stellen die Autoren fest. Entdeckte Sicherheitslücken seien so kaum übertragbar. Zugleich erforderte der bunte IT-Salat aber "ein breites IT-sicherheitstechnisches Verständnis in der jeweiligen Arztpraxis".