Comretix Blog

Die als Zero-Day-Angriffe gemeldeten Angriffe auf Sharepoint waren vielleicht gar keine echten Zero-Days. Vielmehr richteten sie sich gegen bereits bekannte Schwachstellen, für die Microsoft zuvor am 8. Juli einen Patch veröffentlicht hatte. Ob deren Installation allerdings gegen die Angriffe geschützt hätte, bleibt weiter offen.

Doch der Reihe nach: Zum monatlichen Patchday, am 8. Juli, veröffentlichte Microsoft Patches zu zwei Lücken in on-premises-Installationen von MS Sharepoint, die die Lücken CVE-2025-49706 + CVE-2025-49704 schließen sollten. Am 19. Juli vermeldete Microsoft unter der Überschrift "Kundenhinweise zur SharePoint-Schwachstelle CVE-2025-53770" aktive Angriffe auf Sharepoint, gegen die dann etwas später die neuen Patches gegen Lücken mit dem Bezeichner CVE-2025-53770 und CVE-2025-53771 veröffentlicht wurden. Fortan ging alle Welt und auch heise online davon aus, dass es Zero-Day-Angriffe gegen die neuen 53770*-Lücken gab.

Nun stellt sich heraus, dass die Angriffe ab dem 17. Juli sich gegen die Patchday-Lücken CVE-2025-49706 und CVE-2025-49704 richteten, wie etwa eye Security einräumt. Allerdings ergaben genauere Untersuchungen der Patchday-Updates, dass Microsofts Sicherheitsflicken sehr stümperhaft gemacht waren und sich trivial umgehen ließen. So demonstrierte Kaspersky, dass man den Patch gegen CVE-2025-49706 durch das einfache Einfügen eines / in eine URL umgehen konnte.

So einfach ließ sich Microsofts Patch umgehen: das zusätzliche "/" löste den Fehler CVE-2025-49706 trotz Patch wieder aus

(Bild: Kaspersky)

Broadcom stellt den Bitnami-Katalog um, der künftig nur noch gehärtete Images enthält. Die anderen Images wandern in einen Legacy-Katalog, den Broadcom nicht mehr pflegt. Zusätzlich gibt es mit Bitnami Secure Images kostenpflichtige Premium-Pakete mit speziellen Update-, Transparenz- und Sicherheitsgarantien.

Der zentrale Bitnami-Katalog – eine Sammlung sofort einsetzbarer Anwendungspakete – wird nur noch Images mit geringerer Angriffsfläche enthalten, die laut Blog-Eintrag „weniger“ CVE-Schwachstellen aufweisen. Ferner darf das Verzeichnis jetzt nur noch Pakete mit dem latest-Tag anbieten. Alle anderen verschiebt Broadcom in einen Legacy-Katalog, dessen Inhalte der Hersteller jedoch nicht mehr pflegt. Ausgenommen davon sind die Projekte Sealed Secrets und minideb. Das neue Angebot entspricht dem bisherigen Secure-Katalog.

Anwendern, deren Helm-Pulls ins Leere laufen, empfiehlt Broadcom, ein Upgrade auf dieselbe Version durchzuführen und den Repository-Parameter auf das Legacy-Verzeichnis umzustellen. Alternativ lassen sich die neuen Premium-Images nutzen. Welche Pakete konkret nur noch legacy sind, oder ein Premiumkonto benötigen, geht aus der Ankündigung von Broadcom nicht hervor.

Die 280 Premiumpakete gibt es über den Broadcom-Distributor Arrow. Der Anbieter managt sie und hat sie auf hohe Sicherheit optimiert. Er verspricht minimale CVE-Angriffsflächen, Updates innerhalb von Stunden und volle Transparenz auch für nicht gepatchte CVE-Schwachstellen. Das soll Lieferkettenangriffe erschweren und IT-Verantwortlichen ein echtes Risikomanagement ermöglichen. Neu sind auch minimale, distroless Helm-Charts, die bis zu 83 Prozent kleiner sind und nur die Hälfte der Pakete zur Laufzeit benötigen.

Hinzu kommen ein Long-Time-Support, eine Metadaten-API (mit SBOMs und VEX) und die Unterstützung von Photon OS.

Apples in der Nacht zum Mittwoch erschienene Updates für iOS, iPadOS und macOS sollten dringend schnell eingespielt werden: Wie nun erst bekannt wurde, wird damit auch ein WebKit-Bug gefixt, für den es bereits einen Exploit gibt. Dieser wird allerdings bislang nur verwendet, um Chrome-Nutzer anzugreifen, wie es in der zugehörigen NIST-Meldung heißt (CVE-2025-6558). Der Fehler wird mit "Severity: High" bewertet. Verwirrend: Apple warnt in seinen Sicherheitsunterlagen nicht vor bekannten aktiven Angriffen – offenbar, weil es für den Apple-Browser Safari noch keine entsprechenden Berichte gibt.

Laut Google, dessen eigene Threat Analysis Group (TAG) den Fehler entdeckt hat, hat man in Chrome Versionen vor 138.0.7204.157 beobachtet, wie es einem entfernten Angreifer über eine manipulierte Website gelang, einen Sandbox-Ausbruch durchzuführen, der dann zu weiteren Problemen führt. Grund ist die Verarbeitung nicht verifizierter Inputs in den Modulen GPU und ANGLE.

Apple selbst schreibt nur, dass CVE-2025-6558 zu einem "unerwarteten Absturz" in Safari führen könne, von einem Sandbox-Ausbruch ist dort nicht die Rede. Es könnte also sein, dass der Schweregrad auf Apple-Plattformen geringer ist – eine Bestätigung dazu gibt es bislang aber nicht. Apple schreibt weiter, es handele sich um eine Lücke "im Open-Source-Code" und Apples eigene Software sei "unter den betroffenen Produkten".

Der WebKit-Bug wird – zusammen mit zahlreichen weiteren Fehlern – sowohl in iOS 18.6 als auch in iPadOS 18.6 und macOS 15.6 behoben. Weiterhin erschien um einen Tag verzögert auch ein Update für macOS 13 (Ventura) und 14 (Sonoma): Safari 18.4 als Einzeldownload. Warum Apple den Browser für die älteren Systeme hier zunächst verzögert hatte, ist bislang unklar. Den Fix enthält weiterhin auch iPadOS 17.7.9, das Apple parallel zu iOS 18.6 und Co. veröffentlicht hatte. iOS 17 wird vom Hersteller hingegen nicht weiter gepflegt.

Der Vorgang zeigt, dass man bei Sicherheitsupdates genau hinschauen muss. Googles TAG hat bislang noch nicht verraten, wer die Angreifer waren und wie verbreitet der Exploit auf Chrome ist. Wer den Browser (oder darauf aufbauende mit Chromium) nutzt, sollte auch diesen dringend aktualisieren – gegen den Exploit hilft die Installation einer aktuellen Safari- oder macOS-Version nämlich nicht.

Aufgrund von mehreren UEFI-Sicherheitslücken können Angreifer bestimmte All-in-One-PC-Modelle von Lenovo der Serien IdeaCentre und Yoga attackieren. Im schlimmsten Fall können sie Sicherheitsmechanismen umgehen und Systeme von Nutzern unbemerkt vollständig mit Schadcode kompromittieren. Noch sind nicht alle abgesicherten UEFI-Versionen erschienen.

Wie aus einem Beitrag hervorgeht, finden sich die Schwachstellen (CVE-2025-4421 "hoch", CVE-2025-4422 "hoch", CVE-2025-4423 "hoch", CVE-2025-4424 "mittel", CVE-2025-4425 "mittel", CVE-2025-4426 "mittel") in einigen von Insyde Software auf bestimmte Lenovo-PCs angepasste UEFI-Versionen. Demzufolge sind nicht alle UEFI-Ausgaben von Insyde Software verwundbar. Die Sicherheitslücken ähneln denen, die Gigabyte kürzlich in einigen UEFI-Firmwares geschlossen hat.

Durch das Auslösen von Speicherfehlern können Angreifer im UEFI-Kontext Zugriff auf den Systemverwaltungsmodus (System Management Mode, SMM) bekommen. An dieser Stelle können Angreifer bereits vor dem Start eines Betriebssystems Schadcode platzieren und so die volle Kontrolle über Computer erlangen.

Die Beschreibung der Lücken liest sich so, als könnten Angreifer auf diesem Weg den Sicherheitsmechanismus Secure Boot umgehen. Der sorgt unter anderem dafür, dass ein Computer mit Schadcode manipulierte Betriebssysteme erkennt und nicht startet. In so einem Fall bliebe Schadcode unentdeckt und Opfer arbeiten, ohne es zu ahnen, mit einem kompromittierten System.

Auf die Lücken sind Sicherheitsforscher von Binarly gestoßen. Sie geben an, Lenovo Anfang April 2025 darüber informiert zu haben. Mittlerweile gibt es eine Warnmeldung des Computerherstellers zu den Sicherheitslücken.

Das Bundeskabinett hat sich auf einen Entwurf für die Umsetzung der überarbeiteten EU-Netzwerk- und Informationssicherheitsrichtlinie (NIS2) geeinigt. Damit verschiebt die Bundesregierung die meisten ungelösten Probleme der seit bald einem Jahr überfälligen deutschen Umsetzung zur weiteren Debatte in den Bundestag.

"Mit dem neuen Gesetz schaffen wir ein deutlich höheres Sicherheitsniveau für unsere Wirtschaft und Verwaltung", meint Bundesinnenminister Alexander Dobrindt (CSU). Diese würden durch die neuen Vorschriften widerstandsfähiger gegen Cyberangriffe. Damit sollen künftig fast 30.000 statt bisher 4500 Stellen verschärften Cybersicherheitsvorgaben unterliegen.

Während der gescheiterte Versuch der Ampel noch über die europäischen Vorgaben hinausgehen sollte, hat sich Schwarz-Rot auf die Fahne geschrieben, die EU-Richtlinie möglichst ohne jede Übererfüllung umsetzen zu wollen. "Wir setzen dabei auf klare Regeln ohne unnötige Bürokratie", betont Dobrindt.

Allerdings sind viele der nun in dem Kabinettsentwurf enthaltenen Formulierungen keineswegs klar und unumstritten. So bemängelt etwa der Internetwirtschaftsverband Eco, dass "zentrale Fragen" offen bleiben, etwa bei geplanten Ausnahmen für Unternehmen, deren kritische Rolle "vernachlässigbar" ist. "Was politisch pragmatisch klingt, ist europarechtlich heikel", kritisiert Ulrich Plate für den Eco-Verband.

Weitere Kritik an der NIS2-Umsetzung übt etwa der Bundesverband Breitbandkommunikation (Breko): Die Regelungen zu sogenannten "kritischen Komponenten", die die Bundesregierung nun neu formuliert, können deutlich über das hinausgehen, was bislang unter dem "Huawei"-Paragrafen 9b des BSI-Gesetzes verstanden wurde. Breko-Chef Stephan Albers fürchtet, dass damit "nicht nur bei 5G-, sondern auch bei Glasfasernetzen eine Untersagungsmöglichkeit für den Einsatz von geplanten oder bereits in Betrieb befindlichen Bauteilen" vorgesehen sei.

Admins von industriellen Kontrollsystemen (ICS) sollten ihre Instanzen von Delta Electronics, National Instruments und Samsung zeitnah auf den aktuellen Stand bringen. In den jüngst veröffentlichten Versionen haben die Entwickler mehrere Sicherheitslücken geschlossen. Ohne die Patches können Angreifer im schlimmsten Fall Schadcode ausführen. Ob es bereits Attacken gibt, ist bislang nicht bekannt.

ICS steuern oft empfindliche Prozesse in kritischen Infrastrukturen. Attacken in diesem Bereich können schwerwiegende Folgen haben. Entsprechend sollten Admins zügig reagieren. Vor den Schwachstellen warnt die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in mehreren Beiträgen.

Konkret bedroht ist etwa das grafische Programmiersystem LabVIEW von National Instruments. Wie aus dem Sicherheitsbereich der Website es Anbieters hervorgeht, können Angreifer an fünf Lücken (CVE-2025-2633 "hoch", CVE-2025-2634 "hoch", CVE-2025-7361 "hoch", CVE-2025-7848 "hoch", CVE-2025-7849 "hoch") ansetzen, um Schadcode auf Systeme zu schieben und auszuführen. Eine solche Attacke führt in der Regel zur vollständigen Kompromittierung von Computern.

Damit das gelingt, müssen Angreifer auf einem nicht näher ausgeführten Weg Speicherfehler provozieren, um dann eigenen Code ausführen zu können. Die Entwickler versichern, LabVIEW 2025 Q3 gegen solche Angriffe gerüstet zu haben.

Von Delta Electronics ist DTN Soft verwundbar. Auch an dieser Stelle kann Schadcode auf Systeme gelangen (CVE-2025-53416 "hoch"). Die Ausgaben DTN Soft 2.1.0 und DTM Soft 1.6.0.0 enthalten Sicherheitspatches.

Angreifer können mit vergleichsweise wenig Aufwand auf Dell Elastic Cloud Storage (ECS) und ObjectScale zugreifen. Damit setzten Firmen unter anderem Cloudspeicher auf. Liegen dort wichtige Daten, können unbefugte Zugriffe weitreichende Folgen haben. Sicherheitsupdates schließen die Schwachstelle.

In einer Warnmeldung führen die Entwickler aus, dass lokale Angreifer ohne Authentifizierung aufgrund eines hartkodierten SSH-Schlüssels auf Instanzen zugreifen können (CVE-2025-26476 "hoch"). Ob es bereits Attacken gibt, geht derzeit aus der Meldung nicht hervor. Admins sollten besser die Logdateien auf unbekannte Zugriffe abklopfen.

Um Systeme vor der geschilderten Attacke zu schützen, müssen Admins die mit einem Sicherheitspatch versehenen Ausgaben ECS 3.8.1.5 oder ObjectScale 4.0.0.0 installieren. Alle vorigen Versionen sind den Entwicklern zufolge für Angriffe empfänglich.

Nach einer "frischen" Neuinstallation sind Instanzen der Warnmeldung zufolge direkt geschützt. Wer eine ältere Version aktualisiert, muss für einen wirksamen Schutz noch zwingend die SSH-Schlüssel über die Funktion "Rotate SSH Keys" erneuern.

Zuletzt schützte Dell Anfang Juli seine Backuplösung Data Protection Advisor vor möglichen Attacken.

Ohne DNS geht im Internet nicht viel. Die Auflösung von sprechenden Host- und Domainnamen zu schwer merkbaren IP-Adressen erleichtert den Zugang zum Netz ungemein und macht das Web in der heutigen Form erst möglich. Doch das Domain Name System ächzt unter der Last seiner Verantwortung: Die über unverschlüsselte und leicht fälschbare UDP-Pakete übertragenen DNS-Daten stellen ein Sicherheitsrisiko dar. Das soll DNSSEC beheben, die Domain Name System Security Extensions: Indem alle Antworten eines Nameservers digital signiert werden, sind Fälschungen leicht erkennbar.

Am Donnerstag hat die Orange-Tochter Orange Cyberdefense die Übernahme des schweizerischen Mitbewerbers Ensec verkündet; einen Tag später hat Orange einen erfolgreichen IT-Angriff auf die eigene Infrastruktur bemerkt. Als Reaktion hat der französische Telecom-Konzern infizierte Bereiche isoliert, was Störungen bei "bestimmten Management-Diensten und Plattformen für einige unserer Geschäftskunden sowie einigen Diensten für Verbraucher, vorwiegend in Frankreich" verursache.

Das hat Orange am Montag bekanntgegeben. An dem Tag hat der Konzern auch Anzeige erstattet. Bis Mittwochvormittag sollen wieder alle Systeme laufen. "In diesem Stadium der Untersuchung gibt es keinen Beweis, der darauf hindeutet, dass irgendwelche internen Daten oder Kundendaten ausgeleitet worden sind", teilt das Unternehmen noch mit.

Aus vermeintlich "offensichtlichen" Gründen lehnt Orange jeden weiteren Kommentar ab. Damit bleibt unklar, ob Orange überhaupt Systeme hatte, die die Ausleitung von Daten bemerken und Alarm schlagen würden. Auch können andere Unternehmen nicht aus Oranges Fehlern lernen, was für die Täter von Vorteil sein mag.

Seit 2022 ist Orange Cyberdefense in der Schweiz tätig und bietet dort insbesondere proaktive Sicherheitslösungen feil. Zum Stichtag 23. Juli hat der Unternehmen den Zürcher Anbieter Ensec mit 40 Experten für IT-Sicherheit übernommen. Sie stoßen nun zu den rund 100 schweizerischen IT-Mitarbeitern der Orange Cyberdefense hinzu.

Das soll laut Mitteilung die Marktposition des Unternehmens in der Deutschschweiz stärken. Finanzielle Details der Übernahme verraten die Beteiligten nicht.

Angreifer können an Sicherheitslücken in IBMs Serververwaltung Informix HQ und dem Reportingtool Cognos Analytics ansetzen. Im schlimmsten Fall kann es zur Ausführung von Schadcode kommen. Sicherheitsupdates sind verfügbar.

Mit Informix HQ verwalten Admins Datenbankserver auf Basis von Informix Dynamic Server. Weil eine Logoutfunktion fehlerhaft ist (CVE-2024-49342 "hoch"), können entfernte Angreifer einer Warnmeldung zufolge via Brute-Force-Attacken auf Server zugreifen. Außerdem sind in diesem Kontext XSS-Attacken vorstellbar (CVE-2024-49343 "mittel).

Die Entwickler geben an, die Informix-HQ-Versionen 3.0.0, 12.10.xC16W2 und 14.10.xC11W1 gegen die geschilderten Attacken abgesichert zu haben. Bislang sind keine Informationen zu bereits laufenden Angriffen bekannt. Admins sollten mit dem Patchen aber nicht zu lange zögern.

Wie IBMs Entwickler in einem Beitrag ausführen, ist Cognos Analytics über eine Schwachstelle (CVE-2025-27607 "hoch") in Python JSON Logger angreifbar. An dieser Stelle kann es zur Ausführung von Schadcode aus der Ferne kommen. Dagegen sind die Ausgaben 11.2.4 FP6, 12.0.4 FP1 und 12.1.0 IF2 gerüstet.

Der Bereich TCC (Transparency, Consent and Control) ist für Apple immer wieder ein Sorgenkind: Mit der Technik soll macOS eigentlich vor Datenabflüssen an Apps bewahrt werden, die der Nutzer nicht wünscht. Doch Bugs in diesem Zustimmungs- und Überprüfungs-Framework treten immer wieder auf – oftmals durch die Hintertür. Ein Beispiel ist ein aktueller Bug, den Sicherheitsforscher bei Microsoft aufgefunden haben. Die Lücke namens Sploitlight nutzt Apples hauseigene Spotlight-Suchfunktion samt Fehlern in Apple Intelligence, um sensible Daten, darunter Ortsangaben, Metainfos und sogar Gesichtserkennungsinformationen, abzugreifen. Apple hat den Bug glücklicherweise bereits mit macOS 15.4 Ende März gefixt.

TCC soll eigentlich dafür sorgen, dass nicht ohne Nutzerfreigabe auf persönliche Informationen zugegriffen werden kann. Dafür nutzt Apple ein breites Sandboxing – so breit, dass die vielen Nachfragen viele User sogar nerven. Im Rahmen von Sploitlight zeigte Microsoft nun, dass es möglich ist, auf von Apples KI-System Apple Intelligence im Cache vorgehaltene Daten zuzugreifen. Dazu manipulierten die Forscher Spotlight-Plugins so, dass sie über übliche Spotlight-Funktionen wie mdfind (Spotlight auf der Kommandozeile) einen TCC-Bypass schaffen konnten. Dabei muss ein Angreifer wissen, welche Dateitypen er oder sie auslesen will. Die Plugins sind sogar unsigniert, sie lassen sich also deutlich einfacher durch Angreifer ausführen als "normale" Apps.

Microsoft gelang es weiterhin, Fotoalben und geteilte Alben auszulesen, Nutzeraktivitäten im Bereich Fotos zu tracken, anzusehen, welche Fotos und Videos gelöscht wurden sowie den Bildklassifizierer zu missbrauchen, der feststellt, was ein Bild zeigt.

Einige der Leaks benötigen ein aktives Apple Intelligence, andere offenbar nicht. Laut Microsoft wäre es auch möglich, andere Cache-Dateien auszulesen, darunter solche von ChatGPT (das in Apple Intelligence integriert ist) oder E-Mail-Zusammenfassungen.

Offenbar ist von der Lücke teilweise auch das iPhone betroffen. Microsoft deutet an, dass es vom Mac aus möglich ist, abgeglichene Daten abzugreifen. Apple hat in iOS 18.4 mehrere Lücken gefixt, die dazu passen. Microsoft lieferte insgesamt drei Fehlerberichte für macOS 15.4 und iOS 18.4, darunter auch ein Bug im Kontext der Überprüfung von Symlinks und einen "State Management"-Fehler. Nutzer sollten ihr System dringend auf den aktuellen Stand bringen. macOS 15.5 und iOS 18.5 sind die aktuellen Versionen.

Aufgrund derzeit laufender Angriffe sollten Admins sicherstellen, dass sie eine aktuelle Ausgabe der Druckermanagementsoftware PaperCut NG/MF installiert haben. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall Schadcode auf Systeme schieben und ausführen. Sicherheitsupdates sind schon länger verfügbar.

Vor den Attacken warnt die US-Sicherheitsbehörde CISA (Cybersecurity & Infrastructure Security Agency) in einem aktuellen Beitrag. Die Lücke (CVE-2023-2533 "hoch") ist schon zwei Jahre alt; seitdem gibt es auch Sicherheitspatches. Doch offensichtlich sind diese nicht flächendeckend installiert, sodass Angreifer noch an der Softwareschwachstelle ansetzen können.

Im Zuge einer Cross-Site-Request-Forgery-Attacke (CSRF) nehmen Angreifer an verwundbaren PCs angemeldete Admins ins Visier, um im Namen der Opfer Aktionen auszuführen. Klappt eine Attacke, können Angreifer Sicherheitseinstellungen verbiegen oder sogar eigenen Code ausführen und so Systeme kompromittieren.

In welchem Umfang und wie genau solche Attacken in diesem Fall ablaufen, ist derzeit nicht bekannt. Aus der zwei Jahre alten Sicherheitswarnung des Softwareherstellers geht hervor, dass die Version PaperCut NG/MF 22.1.1 gegen die Angriffe abgesichert ist. Darin haben die Entwickler eigenen Angaben zufolge die Konfigurationen von bestimmten Komponenten vom Admin-Interface separiert. Davon sollen alle Betriebssysteme, für die es die Druckermanagementsoftware gibt, bedroht sein. Sie geben an, dass die Versionen 20.1.8 und 21.2.12 nicht von der Softwareschwachstelle betroffen sind.

Woran Admins bereits attackierte Computer erkennen können, geht aus dem Beitrag der Entwickler leider nicht hervor.

Das Sicherheits- und Computer-Notfallteam des Elektrotechnik- und IT-Verbands VDE spielt international seit wenigen Tagen eine wichtigere Rolle. Die Branchenvereinigung teilte am Freitag mit, dass das eigene Computer Emergency Response Team CERT@VDE zur zentralen Stelle im Kampf gegen IT-Sicherheitslücken im Bereich der Industrieautomation mit Fokus auf kleine und mittlere Unternehmen aufgestiegen sei. Dessen Arbeit zur Koordination von Security-Problemen in diesem Sektor erhält damit eine weltweite Bedeutung.

Sicherheitslücken in Industrieprodukten haben bereits etwa in der Strom- und Wasserversorgung, in Krankenhäusern oder in großen Fertigungsstätten für teils existenzielle Bedrohungen gesorgt. Wenn Angreifer solche Schwachstellen ausnutzen, kann das weitreichende und schwerwiegende Folgen für Mensch, Umwelt und Gesellschaft haben. Um das zu verhindern, müssen diese Lücken weltweit bekannt gemacht und behoben werden.

Dafür gibt es das CVE-System (Common Vulnerabilities and Exposures), das vor über 25 Jahren in den USA eingeführt wurde. Es fungiert wie eine große Datenbank, in der jede bekannte Sicherheitslücke eine eigene, eindeutige Nummer hat. Das soll dabei helfen, Missverständnisse bei der Behebung von Problemen zu vermeiden, da jeder genau weiß, welche Schwachstelle gemeint ist. Seit 1999 gilt das CVE-System als wichtiger globaler Standard, der IT-Sicherheitsexperten und Unternehmen hilft.

Doch nicht jeder soll einfach CVE-IDs vergeben können, um Chaos zu vermeiden. Dazu berechtigt sind nur bestimmte Organisationen und Firmen. Sie sind als "CVE Numbering Authorities (CNAs)" bekannt. Diese teilen sich die Zuständigkeiten für verschiedene Produkte und Bereiche auf. CERT@VDE ist bereits seit 2020 eine solche CNA für seine Partner. Das Zentrum hat sich dafür im Rahmen von Prüfungen durch die US-Normungsbehörde NIST einen hohen Qualitätsstandard für seine CVEs erarbeitet. Die NIST betreibt auch die NVD (National Vulnerability Database), eine staatliche Datenbank, die das CVE-System um technische Details und Bewertungen ergänzt.

Über den normalen CNAs gibt es noch sogenannte Root-CNAs. Das sind die Schaltzentralen, die die Arbeit der untergeordneten Zulieferer koordinieren und überwachen. Zu diesen Root-CNAs gehören bereits große Namen wie MITRE, die US-Cybersicherheitsbehörde CISA, Google und Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie der französische Konzern Thales. Seit Mitte Juli dient nun CERT@VDE als die erste deutsche Root-CNA.

Die MyASUS-App kann zum Einfallstor für Angreifer werden. Schuld sind zwei Sicherheitslücken, die aber mittlerweile geschlossen sind. Wer das Tool nicht aktualisiert, riskiert unbefugte Zugriffe auf bestimmte Services.

Das geht aus einer Warnmeldung des Computerherstellers hervor. Von den beiden Schwachstellen (CVE-2025-4569 "hoch", CVE-2025-4579 "mittel") sind Computer des Herstellers aus den Bereichen All-in-One-PCs, Desktop, NUCs und Laptops betroffen.

Aufgrund von hartkodierten Zugangsdaten in Form eines Tokens können Attacken stattfinden. Damit ausgestattet können Angreifer auf bestimmte, nicht näher spezifizierte Dienste zugreifen. Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben 4.0.36.0 (x64) und 4.2.35.0 (ARM) gelöst zu haben. Ob es bereits Attacken gibt, ist zurzeit nicht bekannt.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die Netzwerkkamera LNV5110R von LG Innotek sollte nicht mehr benutzt werden: Die US-Sicherheitsbehörde CISA (Cybersecurity & Infrastructure Security Agency) warnt vor einer Sicherheitslücke, für die es kein Sicherheitsupdate mehr geben wird.

Wie aus einem Beitrag der Behörde hervorgeht, ist der Support für das Modell ausgelaufen und die Netzwerkkamera bekommt keine Sicherheitspatches mehr. Die Schwachstelle bleibt also bestehen und Angreifer können die Netzwerkkamera attackieren.

Weil Angreifer nach einer erfolgreichen Attacke Schadcode ausführen können, gilt die Lücke (CVE-2025-7742 "hoch") als besonders gefährlich. Für das Einleiten einer Attacke soll das Versenden von präparierten HTTP-POST-Anfragen ausreichen. Im Anschluss sollen Angreifer eigenen Code mit Adminrechten ausführen können. Danach ist davon auszugehen, dass das Gerät vollständig kompromittiert ist.

Unklar bleibt, ob Angreifer die Schwachstelle als Sprungbrett in Netzwerke nutzen können. Bislang gibt es noch keine Berichte zu Attacken. Wie man bereits attackierte Geräte erkennt, führt die CISA derzeit nicht aus. Aufgrund des beschriebenen Angriffsszenarios ist es wahrscheinlich, dass Angreifer sich Admin-Accounts anlegen. Sieht man in der Verwaltungsoberfläche unbekannte Accounts, sollte man sie umgehend löschen.

Um die Netzwerksicherheit zu wahren, sollte man dieses Netzwerkkameramodell nicht mehr nutzen und auf ein aktuelles, noch im Support befindliches Modell umsteigen. Wenn das nicht direkt möglich ist, sollte man die Internetverbindung der Kamera kappen und sie mit Firewallregeln isolieren. Ist ein Fernzugriff unabdingbar, sollte das über eine passwortgeschützte und verschlüsselte VPN-Verbindung geschehen.

Besitzer von Nvidia-Grafikkarten sollten sicherstellen, dass aktuelle GPU-Treiber installiert sind und die vGPU-Software auf dem aktuellen Stand ist. Andernfalls können Angreifer an mehreren Sicherheitslücken ansetzen, um Linux- und Windows-PCs zu attackieren.

Wie aus einer Warnmeldung hervorgeht, kann dabei im schlimmsten Fall Schadcode auf Systeme gelangen und diese vollständig kompromittieren. Der Großteil der Softwareschwachstellen in GPU-Treibern für Linux und Windows ist mit dem Bedrohungsgrad "hoch" eingestuft (etwa CVE-2025-23276 und CVE-2025-23277).

Setzt ein Angreifer erfolgreich an der ersten Lücke an, kann er sich höhere Nutzerrechte verschaffen und im Anschluss eigenen Code ausführen. In der Regel erlangen Angreifer in solchen Fällen die volle Kontrolle über Computer. Im zweiten Fall können unter anderem Informationen leaken oder es kommt zu DoS-Zuständen, was Abstürze auslöst.

Wie solche Attacken ablaufen könnten, ist bislang unklar. Derzeit gibt es keine Berichte zu Attacken. Das kann sich aber schnell ändern und Admins sollten zeitnah reagieren und gegen die geschilderten Angriffe abgesicherte Versionen installieren.

Nvidia vGPU-Software ist an mehreren Stellen verwundbar. Zwei Schwachstellen sind mit dem Bedrohungsgrad "hoch" versehen (CVE-2025-23283, CVE-2025-23284). Sie betreffen im Kontext von Linux-Hypervisoren den virtuellen GPU-Manager. An diesen Stellen kann es etwa zur Ausführung von Schadcode kommen. Außerdem könnten Angreifer Daten manipulieren und Dienste crashen lassen.

Die Ransomware-Gang Blacksuit muss wohl vorerst auf Einnahmen aus Erpressungen verzichten: Eine Gruppe aus internationalen Strafverfolgern unter deutscher Beteiligung hat im Rahmen der "Operation Checkmate" ihre Darknet-Infrastruktur lahmgelegt. "This Domain has been seized", verkündet die von den Ermittlern platzierte Botschaft.

Blacksuit hieß früher einmal Royal und war unter diesem Namen schon seit 2022 aktiv. Im August 2024 erfolgte dann die Umbenennung – eine beliebte Strategie vor allem dann, wenn Ermittler den Gangstern allzu dicht an den Fersen kleben.

Wie viele andere Akteure bedient sich Blacksuit einer doppelten Erpressungsstrategie: Vor dem Verschlüsseln exfiltriert sie sensible Daten von Unternehmen und Organisationen, um diese dann mit der Veröffentlichung zu erpressen. Laut einer älteren Sicherheitswarnung der Cybersecurity and Infrastructure Security Agency (CISA) zu Blacksuit bewegen sich die typischen (Bitcoin-)Forderungen der Gruppe zwischen einer und zehn Millionen US-Dollar. Insgesamt habe die Gruppe (Stand August 2024) über 500 Millionen US-Dollar gefordert; mittlerweile dürften zahlreiche weitere Erpressungen hinzugekommen sein.

Sowohl die Veröffentlichung exfilitrierter Daten (und deren Androhung) als auch die Lösegeld-Verhandlungen selbst erfolgten über die nun beschlagnahmten Onion-Sites. Die Gruppe wird also erst einmal umbauen müssen. Zudem bleibt abzuwarten, ob nicht noch weitere Maßnahmen im Rahmen von "Operation Checkmate" ihr Fortbestehen und ihre Operationen beeinträchtigen werden. Bislang ist über Haftbefehle, Hausdurchsuchungen oder gar Festnahmen nichts bekannt geworden.

Derweil berichtet Ciscos Talos Intelligence Group über verstärkte Aktivitäten einer noch recht neuen Ransomware namens Chaos.

Ein Software-Supply-Chain-Angriff hat das beliebte JavaScript-Paket is getroffen, das es auf knapp 2,7 Millionen Downloads pro Woche bringt.

Der Maintainer Jordan Harband schreibt auf Bluesky, dass Angreifer den Account eines anderen Projektverantwortlichen übernommen hatten. Betroffen sind die Versionen 3.3.1 und 5.0.0 des Pakets.

Die Sommerflaute nutzen die beiden Hosts des c't-Datenschutz-Podcasts für einen bunten Ritt durch die Datenschutzwelt. Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich präsentieren in Episode 139 ihre persönliche Auswahl aktueller Fälle und Entwicklungen.

Den Auftakt macht das obligatorische "Bußgeld der Woche", diesmal aus Italien: Die Autostrade per l'Italia muss 420.000 Euro zahlen, weil sie private Facebook-Posts und WhatsApp-Nachrichten einer Mitarbeiterin für ein Disziplinarverfahren verwendet hatte. Die italienische Datenschutzbehörde Garante betont, dass online verfügbare Daten nicht automatisch für jeden Zweck genutzt werden dürfen. Die Behörde sah darin einen Verstoß gegen die Zweckbindung personenbezogener Daten. Bleich und Heidrich diskutieren, ob zumindest öffentliche Social-Media-Posts tatsächlich nicht für andere Zwecke verwendet werden dürfen.

Einiges Rumoren in der Datenschutz-Community erzeugt ein Urteil des Landgerichts (LG) Leipzig: 5000 Euro Schadensersatz sprach es einem Nutzer zu, der sich von den Meta-Business-Tools im Web überwacht fühlt. Viele Website-Betreiber nutzen diese Tools, etwa in Form von Social-Plug-ins. Meta könne damit allerdings "jeden Nutzer zu jeder Zeit individuell erkennbar [machen], sobald er sich auf Drittwebseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Instagram- oder Facebook-Account angemeldet hat", so das Gericht.

Die Höhe des Schmerzensgeldes nach Art. 82 DSGVO müsse demnach über die in der nationalen Rechtsprechungspraxis etablierten Beträge hinausgehen. Das Gericht sieht eine systematische Überwachung und spricht von einem Signal gegen Meta. Die Hosts zeigen sich überrascht von der Höhe des Schadensersatzes, der ohne konkrete Schadensdarlegung allein auf Basis eines "Überwachungsgefühls" zugesprochen wurde. Dies könne für Meta tatsächlich gravierende Folgen haben, wenn sich die Ansicht des LG Leipzig an anderen Gerichten durchsetzen sollte.

Derweil gerät Microsoft in Erklärungsnot: Nachdem der Konzern vollmundig eine undurchlässige "EU Data Boundary" für die Kundschaft in der EU versprochen hatte, räumte der französische Chefjustiziar nun ein, dass US-Behörden über den Cloud-Act weiterhin auf europäische Kundendaten zugreifen können. Bleich zeigt sich wenig überrascht, aber verärgert über die irreführenden Versprechen. Ein weiteres Mal stehe die Glaubwürdigkeit von Datenschutzversprechen großer US-Tech-Konzerne in Frage.