Comretix Blog

In LibreOffice hat das Projekt eine Sicherheitslücke entdeckt. Angreifer können dadurch Makros ausführen lassen. Aktualisierte Software bessert die Schwachstellen aus.

Anzeige

In einer Sicherheitsmitteilung warnen die LibreOffice-Entwickler vor dem Sicherheitsleck. LibreOffice unterstützt Office-URI-Schemes, um die Browser-Integration von LibreOffice mit Sharepoint-Servern zu ermöglichen. Dabei haben die Entwickler noch zusätzlich das URI-Scheme "vnd.libreoffice.command" ergänzt.

Ein sorgsam präparierter Link im Browser kann mit diesem URI-Scheme eine innere URL einbetten, die Makros mit beliebigen Argumenten ausführt, sofern sie von LibreOffice verarbeitet wird. Diese Umgehung von Sicherheitsmechanismen, die etwa die Makro-Ausführung verhindern sollen, korrigieren die Entwickler mit neuen Software-Versionen (CVE-2025-1080, CVSS 7.2, Risiko "hoch").

Die Lücke betrifft LibreOffice 24.8 und 25.2. Die aktuell verfügbaren Fassungen 24.8.5 sowie 25.2.1 korrigieren die sicherheitsrelevanten Fehler. Sie stehen auf der LibreOffice-Download-Webseite zum Herunterladen bereit. Die fehlerkorrigierten Versionen stehen bereits einige Wochen zur Verfügung: LibreOffice 24.8.5.1 erschien am 29. Januar, aktuell ist 24.8.5.2 vom 14. Februar. Die Fassung 25.2.1.1 wurde am 9. Februar veröffentlicht, aktuell ist hier 25.2.1.2 vom 24. Februar.

Google hat eine neue Sicherheitsfunktion für Android-Geräte angekündigt, die Betrugsversuche per künstlicher Intelligenz (KI) erkennen können soll. Dazu überwacht das System die Nachrichten bei Google Messages, aber auch Anrufe, und warnt den Nutzer in Echtzeit vor möglichem Scam. Der Konzern verspricht, dass die Funktion nur auf dem Gerät läuft und die Gespräche privat bleiben. Zunächst wird die Scam-Erkennung in Google Messages auf englischsprachige Länder beschränkt sein, aber künftig auf weitere Regionen erweitert.

Anzeige

Diese KI-Sicherheitsfunktion ist eine Erweiterung der bereits im Oktober des Vorjahres eingeführten Schutzmaßnahmen für Google Messages. Auch hier ging es um den Schutz vor Betrugsversuchen, aber auch um Warnungen vor möglicherweise gefährlichen Links. Vielen Anwendern erst kürzlich aufgefallen ist der Android System SafetyCore, ein Nacktfoto-Warner für Smartphones. Auch in diesem Fall überwacht Android die Nachrichten und warnt vor eventuell sensiblen Inhalten.

Jetzt aber betont der Datenkonzern den Einsatz von KI für die Erkennung von Betrugsversuchen. Unterstützung hat sich Google laut eigenem Security-Blog von Finanzinstituten weltweit eingeholt, um die raffiniertesten und gängigsten Scams zu verstehen, von denen deren Kunden betroffen sind. Oft beginnt der Nachrichtenaustausch zunächst harmlos, aber nach einiger Zeit wird das Opfer dahingehend manipuliert, private Daten herauszugeben, Geld zu überweisen oder zu anderen Messenger-Apps zu wechseln.

Der übliche Scam-Schutz warnt die Nutzer bereits vor Beginn der Konversation vor möglichen Betrugsversuchen und basiert dies auf der Telefonnummer. Doch viele Scammer verschleiern diese oder nutzen Telefonnummern vertrauenswürdiger Unternehmen, sollte sich das Opfer darüber informieren. Deshalb wird der Nachrichtenaustausch in Google Messages künftig laufend überwacht, sodass Android auch während des Gesprächs Warnungen auswirft, sollten verdächtige Nachrichten erkannt werden.

In VMware ESXi, Fusion und Workstation haben die Entwickler Sicherheitslücken ausfindig gemacht, durch die Angreifer etwa aus den virtuellen Maschinen ausbrechen können – und das bereits in freier Wildbahn machen. Aktualisierte Software steht bereit, um die Schwachstellen auszubessern. Admins sollten sie umgehend installieren.

Anzeige

In einer Sicherheitsmitteilung zu den VMware-Produkten erörtert Broadcom die Fehler in der Software. Am schwersten wiegt ein Schwachstelle der Art "Time of Check – Time of use" (TOCTOU), die in Schreibzugriffen außerhalb vorgesehener Speichergrenzen münden kann; es handelt sich um einen Heap-Überlauf. Bösartige Akteure mit Admin-Rechten in einer virtuellen Maschine können das missbrauchen, um Code im VMX-Prozess auf dem Host auszuführen (CVE-2025-22224, CVSS 9.3, Risiko "kritisch").

Zudem können Angreifer eine Sicherheitslücke ausnutzen, die beliebige Schreibzugriffe ermöglicht. Mit etwaigen Berechtigungen innerhalb des VMX-Prozesses können sie beliebige Kernel-Schreiboperation auslösen und damit aus der Sandbox ausbrechen (CVE-2025-22225, CVSS 8.2, Risiko "hoch"). Die dritte Schwachstelle ermöglicht das unbefugte Auslesen von Informationen aufgrund von möglichen Lesezugriffen außerhalb vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Angreifer benötigen Admin-Rechte in einer VM und können dadurch Speicher aus dem VMX-Prozess auslesen (CVE-2025-22226, CVSS 7.1, Risiko "hoch").

Broadcom weist darauf hin, dass dem Unternehmen Hinweise vorliegen, dass alle drei Schwachstellen derzeit bereits attackiert werden. Temporäre Gegenmaßnahmen nennen die Entwickler nicht, es hilft daher nur, die Aktualisierungen so rasch wie möglich herunterzuladen und zu installieren.

Betrüger setzen auf eine Paypal-Funktion namens "No Code Checkout", um echt aussehende Paypal-Seiten zu imitieren. Diese bewerben sie in Googles Suchmaschine, um potenzielle Opfer anzulocken.

Anzeige

Malwarebytes berichtet im Unternehmens-Blog von der Betrugsmasche. Demnach schalten die Betrüger Werbung bei Google, die die offizielle Paypal-Webseite anzeigt, jedoch auf eine Betrugsseite leitet. Das klappt deshalb, da Googles Richtlinien dafür sorgen, dass das populäre Logo und der Name angezeigt werden, sofern der Domain-Name der URL auf Paypal verweist.

Die Betrüger werben für die Seite, die unter der Paypal-Domain gehostet und dadurch als offizielle Paypal-Seite angezeigt wird.

(Bild: Malwarebytes)

Derzeit haben Angreifer Android-Smartphones im Visier und attackieren Geräte. Sicherheitspatches stehen für ausgewählte Geräte bereit. Nach erfolgreichen Attacken sind unbefugte Zugriffe auf eigentlich abgeschottete Bereiche des mobilen Betriebssystems möglich.

Anzeige

Bereits im November vergangenen Jahres warnte Google, dass Angreifer eine Schwachstelle im Framework (CVE-2024-43093 "hoch") ausnutzen. Warum sie es nun erneut tun, geht aus der aktuellen Warnmeldung nicht hervor. Die Schwachstelle betrifft die Funktion shouldHideDocument in ExternalStorageProvider.java.

Setzen Angreifer daran erfolgreich an, können sie Zugriffsfilter umgehen, um so Systemverzeichnisse einzusehen. Das kann zur Ausweitung von Nutzerrechten führen. Damit Attacken klappen, müssen Opfer der Beschreibung der Lücke zufolge aber mitspielen. Wie so ein Angriff im Detail ablaufen könnte, ist bislang nicht bekannt.

Die zweite attackierte Schwachstelle (CVE-2024-50302 "mittel") betrifft die Kernel-Subkomponente HID. An diese Stelle sind unbefugte Zugriffe auf den Kernelspeicher möglich. In welchem Umfang die Angriffe laufen, ist unklar. Google spricht von gezielten Angriffen in begrenztem Umfang.

TrapC ist eine neue, auf Cybersicherheit spezialisierte Variante der Programmiersprache C. Sie zielt darauf ab, die in C und C++ gängigen Speicherprobleme und Pufferüberläufe zu verhindern.

Anzeige

Der von Robin Rowe entwickelte TrapC-Compiler soll Ende des Jahres 2025 als Open-Source-Software verfügbar sein und ermöglicht es, C und TrapC-Code parallel zu verwenden. Zudem soll TrapC auch zu einfachem C++-Code kompatibel sein, zum Beispiel:

Rowe hat sein Projekt auf dem letzten ISO-C-Meeting Ende Februar in Graz vorgestellt. Der TrapC-Compiler setzt auf speichersichere Zeiger, was Speicherlecks und Speicherüberläufe verhindern soll. Parallel dazu greifen Sicherheitsfunktionen, die in C fehlen, wie Konstruktoren und Destruktoren aus C++. TrapC entfernt zudem unsichere Schlüsselwörter wie goto und union und fügt neue Schlüsselwörter wie trap und alias hinzu. In einem Whitepaper nennt Robin Rowe ein Beispiel dafür, wie TrapC einem Pufferüberlauf entgegenwirkt: ein User-Dialog, in dem Anwender ihre Namen eingeben. In C geschrieben, sieht die entsprechende Code-Passage so aus:

Geben Anwenderinnen und Anwender mehr als 24 Zeichen ein, provoziert das einen Pufferüberlauf und öffnet einen Exploit für Angreifende. In C oder C++ wird dieser Fehler nicht unbedingt registriert, was zu einem Crash führt.

Medienberichte über neue Befehle des US-Verteidigungsministers verursachten am Wochenende Aufruhr in der Security-Szene. US-Verteidigungsminister Pete Hegseth, dem neben den konventionellen auch die Cyber-Streitkräfte der Vereinigten Staaten unterstehen, hatte laut Medienberichten ein Moratorium über alle gegen Russland gerichtete Operationen im Cyberraum verhängt. Das berichtete unter anderem die New York Times und berief sich dabei auf anonyme Quellen.

Anzeige

Zuerst hatte "The Record" gemeldet, dass Hegseth dem für das US-Cyberkommando zuständigen General Timothy Haugh befohlen habe, bis auf Weiteres alle Planungen gegen Russland einzustellen. Der Auslandsgeheimdienst National Security Agency (NSA), der ebenfalls Haugh untersteht, sei von dem Befehl ausgenommen. Unklar blieb zudem, ob sich das Moratorium ausschließlich auf offensive Cyber-Operationen bezogen oder ob Spionage und die Abwehr russischer Aufklärung ebenfalls betroffen seien.

Dass die amerikanische IT-Sicherheitsstrategie ihre Aufmerksamkeit künftig weniger auf Russland als auf andere Widersacherstaaten richten werde, deutete bereits eine Rede der US-Vertreterin Liesyl Franz vor einer UN-Arbeitsgruppe zur Cybersicherheit am 17. Februar 2025 an. Zwar erwähnte Franz mehrfach China und den Iran, ließ anders als ihr britischer Kollege Russland jedoch völlig unerwähnt. Selbst ihre ausführliche Schilderung von Ransomware-Angriffen auf US-Gesundheitseinrichtungen kam ohne die Erwähnung des Herkunftslands der meisten Ransomware-Programme aus.

Einen Bericht des Guardian, dass auch die US-Cybersicherheitsbehörde CISA nun ihren Kampf gegen russische Desinformation und Cyberangriffe einschränken müsse, dementiert selbige vehement: Es habe keine Änderung der CISA-Prioritäten gegeben, so die Behörde. Auch eine hochrangige Vertreterin des Department for Homeland Security (DHS) widersprach der Darstellung des Guardian – diese sei "Müll", so Patricia McLaughlin auf X. Das vom Guardian angeführte interne Memo für CISA-Mitarbeiter sei nicht von der Trump-Regierung.

HP liefert mit ThinPro ein Linux-basiertes Betriebssystem für Thin-Clients. Jetzt hat das Unternehmen eine Aktualisierung veröffentlicht, die hunderte Sicherheitslücken abdichtet. IT-Verantwortliche sollten die Updates zügig verteilen.

Anzeige

HP schreibt in der Sicherheitsmitteilung dazu, dass der Schweregrad "kritisch" sei. Angreifer können beliebigen Schadcode ausführen, Rechte ausweiten, Systeme und Dienste lahmlegen (Denial of Service, DoS) oder Informationen unbefugt auslesen.

Insgesamt 233 Schwachstellen listet HP auf. Davon gelten immerhin 21 als kritisches Sicherheitsrisiko. Die meisten betreffen GStreamer, es sind jedoch auch libarchive, der Linux-Kernel und ZBar von kritischen Schwachstellen betroffen. Weitere 77 Sicherheitslücken stellen ein "hohes" Risiko dar.

Die Sicherheitslecks stopft HP mit dem Update auf HP ThinPro 8.1 SP6. Die neue Software-Fassung soll etwa auf der Webseite von HP zum Herunterladen bereitstehen, der Link führt derzeit jedoch ins Leere. Die Aktualisierung soll sich auch mit HP ThinUpdate herunterladen lassen. Gegebenenfalls spuckt die Suche nach dem Gerätemodell auf der Support-Seite von HP die aktualisierte ThinPro-Software aus.

Die US-amerikanische IT-Sicherheitsbehörde warnt vor beobachteten Angriffen auf Schwachstellen in Cisco RV-Routern, Hitachi Vantara, WhatsUp Gold und Windows. Die Lücken sind zum Teil bereits sieben Jahre alt, Updates zum Abdichten stehen bereit. IT-Verantwortliche sollten prüfen, ob in den betreuten Netzwerkumgebungen möglicherweise verwundbare Installationen oder Geräte bislang unentdeckt geblieben sind.

Anzeige

In der CISA-Warnung nennt die Behörde fünf Sicherheitslücken, von denen sie Kenntnis hat, dass sie derzeit aktiv angegriffen werden. In den Small-Business-Routern der RV-Serie von Cisco klaffte bis zu einem Update aus dem April 2023 in der webbasierten Verwaltungsoberfläche eine Sicherheitslücke, durch die authentifizierte Angreifer aus dem Netz beliebige Befehle ausführen können; das Senden sorgsam präparierter HTTP-Pakete genügt (CVE-2023-20118, CVSS 6.5, Risiko "mittel").

In Hitachis Vantara Pentaho BA-Server greifen Kriminelle hingegen zwei Schwachstellen an. Eine Lücke erlaubt die Umgehung der Autorisierung (CVE-2022-43939, CVSS 8.6, Risiko "hoch"), die andere erlaubt das Einschleusen "spezieller Elemente", genauer von Spring-Templates (CVE-2022-43769, CVSS 8.8, Risiko "hoch"). Auch diese Lücken wurden im April 2023 gemeldet.

Die älteste, derzeit angegriffene Lücke betrifft die Win32k-Komponente von Windows, sie ermöglicht die Ausweitung der Rechte im System (CVE-2018-8639, CVSS 7.8, Risiko "hoch"). Betroffen waren Windows-Versionen bis Windows 10 und Windows Server 2019. In WhatsUp Gold von Progress hat der Hersteller Mitte vergangenen Jahres eine Sicherheitslücke gestopft, eine Directory-Traversal-Schwachstelle, durch die Angreifer ohne vorherige Anmeldung beliebigen Code einschleusen und ausführen konnten (CVE-2024-4885, CVSS 9.8, Risiko "kritisch").

In Zohocorps ADSelfService Plus können Angreifer eine Sicherheitslücke missbrauchen, um Konten zu übernehmen. Aktualisierte Software stopft das Sicherheitsleck. IT-Verantwortliche sollten es zeitnah anwenden.

Anzeige

In der Sicherheitsmitteilung von Zohocorp schreiben die Entwickler des Unternehmens, dass die Schwachstelle auf fehlerhaftes Session-Handling in ADSelfService Plus zurückgeht. Dadurch könne nicht autorisierter Zugriff aus User-Enrollment-Daten erfolgen, sofern Multi-Faktor-Authentifizierung für ADSelfService-Plus-Log-ins nicht aktiviert war. In der Folge konnten unautorisiert Nutzerdaten entfleuchen und damit möglicherweise Kontenübernahmen erfolgen (CVE-2025-1723, CVSS 8.1, Risiko "hoch").

In der Schwachstellenbeschreibung des CVE-Eintrags beim NIST ergänzt Zohocorp, dass lediglich Inhaber gültiger Konten diesen Fehler hätten missbrauchen können. Die Schwachstelle betrifft ADSelfServcie Plus 6510 und ältere Builds.

Am Mittwoch vergangener Woche, den 26. Februar, hat das Unternehmen das Update auf Version 6511 herausgegeben. Es soll die Sicherheitslücke abdichten. "Das Problem wurde in ADSelfService Plus 6511 durch Sicherstellen davon gelöst, dass Enrollment-Daten nur für den User zugreifbar sind, der aktuell authentifiziert ist", erklärt Zohocorp.

Vor zwei Sicherheitslücken in der Bedienoberfläche zu IBM Storage-Virtualize-Produkten warnt der Hersteller derzeit. Angreifer aus dem Netz können dadurch Schadcode einschleusen und ausführen.

Anzeige

In einer Sicherheitsmitteilung erörtert IBM, dass bösartige Akteure die Authentifizierung umgehen und beliebigen Code zur Ausführung bringen könnten. Die gravierende Schwachstelle ermöglicht Angreifern aus dem Netz, mit sorgsam präparierten HTTP-Anfragen die RPCAdapter-Endpunkt-Authentifizierung zu umgehen (CVE-2025-0159, CVSS 9.1, Risiko "kritisch").

Die zweite Sicherheitslücke hingegen ermöglicht Angreifern aus dem Netz mit Zugriff auf das System, beliebigen Javascript-Code auszuführen. Das geht auf unzureichende Einschränkungen im RPCAdapter-Dienst zurück (CVE-2025-0160, CVSS 8.1, Risiko "hoch"). In Kombination können Angreifer aus dem Netz daher die Authentifizierung umgehen, um dann beliebigen Code auf verwundbaren Systemen auszuführen.

IBM legt Wert auf die Feststellung, dass die GUI, also die Bedienoberfläche, betroffen ist. Die Kommandozeilenversion ist nicht verwundbar. Angreifbar sind die IBM Storage-Virtualize-Versionen 8.5.0.x, 8.5.1.0, 8.5.2.x, 8.5.3.x, 8.5.4.0, 8.6.0.x, 8.6.1.0, 8.6.2.x, 8.6.3.0, 8.7.0.x und 8.7.1.0 sowie 8.7.2.x. Die Sicherheitslücken haben die Entwickler hingegen in den derzeit jüngsten Versionen 8.5.0.14, 8.6.0.6, 8.7.0.3 und 8.7.2.2 geschlossen; die 8.5.1- bis 8.5.4er-Zweige sollen dabei auf 8.6 migrieren, die 8.6.1- bis 8.6.3-Fassungen auf 8.7. IBM nennt zudem konkret betroffene Appliances: IBM FlashSystem 5x00, 7x00, 9x00, IBM Spectrum Virtualize for Public Cloud, IBM Storwize V5000, V5000E, V7000 und SAN Volume Controller.

In dem Treiber "BioNTdrv.sys" von Paragons Partition Manager missbrauchen Angreifer eine Sicherheitslücke, durch die sie höhere Rechte im System erlangen. Paragon reagiert mit aktualisierter Software. Da der Treiber ein ordentliches Microsoft-Zertifikat mitbringt, können bösartige Akteure dieses einfach selbst auf Windows-Rechner installieren, ohne weitere Paragon-Software. Microsoft hat deswegen die Block-Liste der verwundbaren Treiber aktualisiert, die das Laden von anfälligen Versionen verhindern soll.

Anzeige

Das CERT weist in einer Sicherheitsmitteilung auf die Schwachstellen hin. In dem Treiber "BioNTdrv.sys" vor der nun aktuellen Version 2.0.0, insbesondere die Versionen 1.3.0 und 1.5.1 aus Paragons Partition Manager 7.9.1 sowie 17, klaffen insgesamt fünf Sicherheitslücken. Der Treiber dient dem Low-Level-Zugriff auf Laufwerke mit erhöhten Rechten im Kernel-Kontext, um auf Daten zuzugreifen und sie zu verwalten. Es sind sowohl die kostenlosen Community-Editionen als auch die kommerzielle Version der Software betroffen.

Laut CERT hat Microsoft vier Sicherheitslecks in "BioNTdrv.sys" von Paragon Partition Manager 7.9.1 sowie eine in der Version aus Paragon Partition Manager 17 entdeckt. Die Schwachstellen erlauben Angreifern, an SYSTEM-Rechte zu gelangen, die jene von Administrator noch übertreffen. Der Treiber könne von bösartigen Akteuren mit IOCTLs manipuliert werden, was etwa in erhöhten Rechten oder Systemabstürzen – etwa Blue Screen of Death, BSOD – münden kann. Selbst, wenn die Paragon-Software gar nicht installiert ist, können sie den Treiber einfach mitbringen, um eine Maschine zu kompromittieren, auch als Bring Your Own Vulnerable Driver (BYOVD) bekannt.

Und genau das hat Microsoft der Mitteilung zufolge beobachtet. In Ransomware-Angriffen haben die Täter Version 1.3.0 von "BioNTdrv.sys" mitgebracht, um ihre Rechte im System auszuweiten und bösartigen Code auszuführen.

Sie sollen kontrollieren, wer in ein Gebäude hineinkommt – doch allzu oft sind entsprechende Zugangssysteme ein Einfallstor für Cyberkriminelle. Zu diesem Schluss kommen Forscher der IT-Sicherheitsberatung Modat. Das Ausmaß ist demnach enorm.

Anzeige

Das niederländische Unternehmen veröffentlichte eine Studie, bei der rund 49.000 falsch konfigurierte Zugangssysteme, beziehungsweise Access Management Systeme (AMS) auffielen. Sie verteilen sich über verschiedene Weltregionen und Sektoren wie Baugewerbe, Gesundheitswesen, Bildungswesen, Fertigung, Ölindustrie und staatliche Einrichtungen. Die Autoren sprechen von einem weltweiten Problem.

AMS authentifizieren ihre Benutzer mit Methoden wie Passwörtern, biometrischen Merkmalen oder Multi-Faktor-Authentifizierung und autorisieren ihre Zugriffsrechte anhand festgelegter Richtlinien. Wenn sie versagen, bringt das zwei zentrale Probleme. Zum einen können sich Unbefugte Zugang zu den Gebäuden verschaffen. Zum anderen bieten die fehlerhaften Systeme unerlaubten Zugriff auf allerlei sensible Daten.

Und das ist nicht zu unterschätzen: Mitarbeiterfotos, vollständige Namen, Identifikationsnummern, Details zu Zugangskarten, biometrische Daten, Kfz-Kennzeichen und in einigen Fällen sogar vollständige Arbeitspläne und Zugangsdaten zu Einrichtungen waren laut den Forschern in diversen Fällen ungeschützt. Besonders brisant seien die biometrischen Daten, die bei einigen modernen AMS zugänglich waren. All das ist eine Angriffsfläche für Phishing, Identitätsdiebstahl, Social Engineering und andere Betrugsformen, um sensible Daten abzuschöpfen.

Pete Hegseth ist erst wenige Wochen US-Verteidigungsminister, doch das hält ihn nicht von einem Strategiewechsel ab, dessen Auswirkungen erst noch geklärt werden müssen: Das US Cyber Command, die oberste Kommandobehörde für Cyberaktivitäten des US-Militärs, soll keine weiteren Aktivitäten mehr planen, die sich auf Russland beziehen. Dazu wies Hegseth den Behördenchef und US-General Timothy Haugh an. Was genau Hegseths Anordnung umfasst und vor allem, wie sie sich auswirken wird, ist noch völlig unklar.

Anzeige

Hegseth verhängt den Kurswechsel bis auf Weiteres, wie das US-Medium The Record berichtet und sich dabei auf drei anonyme Insider bezieht. Würde die Anordnung nur Militäreinheiten betreffen, die sich mit elektronischer Kriegsführung mit Russland-Bezug beschäftigen, wären das wenige hundert Personen. Anders sähe es aus, würde es auch um Geheimdienstangehörige, Analysten und Experten für Fähigkeitsentwicklung gehen.

Doch was Hegseth genau ins Auge gefasst hat, weiß er offenbar selbst nicht genau. Jedenfalls soll das Cyber Command jetzt eine "Risikoanalyse" durchführen, die alle gestoppten Projekte auflistet und welche möglichen Gefahren noch weiterhin von Russland ausgehen könnten. Einheiten des Kommandos sind auch in Aktivitäten zur Unterstützung der Ukraine involviert, wo das US-Militär "Defensiv und offensiv" zugunsten des angegriffenen Landes hackt. Gesichert ist laut The Record zumindest, dass sich Hegseths Vorstoß nicht auf Angehörige des Inlandsgeheimdienstes National Security Agency (NSA) bezieht. Dieser beschäftigt sich unter anderem im Bereich der Fernmeldeaufklärung mit Russland.

Wie The Record außerdem schreibt, soll Haugh die Anordnung an Generalmajor Ryan Heritage weitergeleitet haben, Director of Operations im Cyber Command. Heritage, der kurz vor dem Ruhestand steht, kennt alle Missionen des Cyber Commands, weiß, welche sich davon noch in Planung oder schon in der Ausführung befinden. Er würde die Betroffenen auch über den Stopp ihrer Mission informieren. Den Insidern zufolge könnte das auch die Einheit 16th Air Force treffen. Sie ist für digitale Operationen im europäischen Raum zuständig. Auf Anfrage von The Record wollte sich ein Sprecher des Verteidigungsministeriums nicht zu dem Vorgang äußern.

Es sind wichtige Sicherheitspatches für die Softwareentwicklungsplattform Gitlab erschienen. Insgesamt haben die Entwickler fünf Lücken geschlossen.

Anzeige

In einem Beitrag geben die Gitlab-Entwickler an, die Sicherheitsprobleme in Gitlab Community Edition und Enterprise Edition 17.7.6, 17.8.4 und 17.9.1 gelöst zu haben. Die Entwickler raten Admins, ihre Gitlabinstanzen zügig auf den aktuellen Stand zu bringen. Bislang gibt es noch keine Hinweise auf bereits laufende Attacken. Weil Gitlab.com bereits gepatcht ist, müssen Gitlab-Dedicated-Kunden nichts unternehmen.

Zwei Schwachstellen (CVE-2025-0475, CVE-2025-0555) sind mit dem Bedrohungsgrad "hoch" eingestuft. In beiden Fällen können Angreifer im Zuge von XSS-Attacken unter bestimmten, nicht näher ausgeführten Umständen, Schadcode ausführen. Ob es sich um persistente XSS-Lücken handelt, geht aus der Beschreibung nicht hervor.

In den weiteren Fällen können Angreifer unter anderem unbefugt Daten einsehen (CVE-2025-10925 "mittel"). Alle Schwachstellen wurden den Entwicklern zufolge über die Bug-Bounty-Plattform HackerOne gemeldet.

Internationale Ermittler haben nach Angaben von Europol eine Verbrecherbande ausgehoben, die online mit KI generierte Bilder vom sexuellen Missbrauch von Kindern verbreitete. Bei der Operation "Cumberland" haben Behörden aus 19 Ländern am Mittwoch dieser Woche 25 Verdächtige festgenommen. Die Operation war von globalem Ausmaß und laufe noch weiter, teilte Europol mit. Strafermittler aus Dänemark führen die Operation an.

Anzeige

Wie Europol weiter mitteilt, kam es bisher zur Identifizierung von 273 Verdächtigen, zur Verhaftung von 25 Verdächtigen, zu 33 Hausdurchsuchungen und 173 Beschlagnahmungen. Mit weiteren Verhaftungen sei zu rechnen, da Operation "Cumberland" weitergehe.

Der Hauptverdächtige ist dänischer Staatsbürger und wurde bereits im November 2024 festgenommen. Er soll eine Online-Plattform betrieben haben, auf der das von ihm mit künstlicher Intelligenz erzeugte Material verteilt wurde. Nach einer symbolischen Zahlung konnten Nutzer rund um den Globus ein Passwort erhalten, um auf die Plattform zuzugreifen und Kindesmissbrauch anzuschauen.

Operation "Cumberland" ist einer der ersten Fälle, bei denen es um KI-generierte Darstellungen von Kindesmissbrauch geht. Die Ermittler sehen sich dabei vor große Herausforderungen gestellt, insbesondere weil es in den betroffenen Ländern noch keine Rechtsprechung bezüglich dieser Straftaten gibt. EU-Mitgliedsstaaten diskutieren derzeit jedoch eine gemeinschaftliche Regelung, die die EU-Kommission vorgeschlagen hat, so Europol.

Das polnische CERT warnt vor einer Sicherheitslücke in der Video-Schnitt- und Postprocessing-Software DaVinci Resolve. Angreifer können sie missbrauchen, um die Rechte im System zu erhöhen oder damit Dylib-Hijacking auszuführen.

Anzeige

In einer Sicherheitsmitteilung erörtert das CERT.pl, dass die DaVinci-Resolve-App in macOS mit inkorrekten Zugriffsrechten für die Datei installiert wird, nämlich "rwxrwxrwx". Die Standard-Praxis unter macOS sei aus Sicherheitsgründen jedoch "drwxr-xr-x" für die Zugriffsrechte im Dateisystem (CVE-2025-1413, CVSS 9.2, Risiko "kritisch"). Die Rechte stehen in der Unix-üblichen Notationsreihenfolge Lesen (r), Schreiben (w) und Ausführen (x) für Datei-/Ordnerbesitzer, Gruppe sowie Andere. "Inkorrekte Zugriffsrechte ermöglichen Dylib-Hijacking. Gastkonto, andere Nutzerinnen und Nutzer sowie Anwendungen können die Schwachstelle zur Ausweitung der Zugriffsrechte missbrauchen", schreiben die IT-Sicherheitsforscher in der Sicherheitsmitteilung.

Laut CERT.pl ist DaVinci Resolve in allen Versionen vor 19.1.3 für diese Schwachstelle anfällig. Die Version 19.1.3 stellt das Projekt inzwischen zum Schließen der Sicherheitslücke bereit.

Aufgrund des Schweregrads der Lücke sollten DaVinci-Resolve-Nutzerinnen und -Nutzer zügig auf die bereitgestellte aktualisierte Fassung updaten. Sie ist nach Klick auf die Schaltfläche "Free Download Now" auf der DaVinci-Resolve-Webseite für diverse Betriebssysteme erhältlich. Die aktualisierte Fassung steht aber auch etwa im Mac-App-Store zur Verfügung.

Die Verschlüsselung mit DES gilt seit Langem, bereits länger als zwei Dekaden, als unsicher. Nun macht Microsoft Nägel mit Köpfen: Die DES-Verschlüsselung fliegt endgültig aus Windows raus.

Anzeige

Windows wird im September 2025 die DES-Verschlüsselung gestutzt.

(Bild: Screenshot / dmk)

Bereits 1998 haben IT-Sicherheitsforscher demonstriert, dass DES-Schlüssel, die aufgrund US-amerikanischer Export-Beschränkungen zudem auf 56 Bit Länge beschränkt waren, innerhalb von nicht einmal drei Tagen und mit begrenztem Budget zu knacken waren. Die damalige US-Regierung argumentierte, dass das lediglich mit wesentlich höherem Aufwand möglich und die kurzen Schlüssel daher kein Problem seien. Die Forscher haben das mit einem von der Electronic Frontier Foundation (EFF) damals selbst gebauten "Supercomputer" mit knapp 2000 speziell designten CPUs (ASICs) mit weniger als 40 MHz Taktfrequenz, der etwa 250.000 US-Dollar kostete, widerlegt.