Comretix Blog

Sperrige Namen haben die Funktionen, die Microsoft nun aufs Altenteil schiebt: Virtualisierungsbasierte Sicherheitsenklaven (VBS) und Windows UWP Map Controls und zugehörige APIs. Dahinter verbergen sich Funktionen, die Nutzerinnen und Nutzer nicht direkt zu Gesicht bekommen, sondern mit denen Entwickler Kontakt haben.

Microsoft nennt diese Funktionen nun auf der Webseite für die abgekündigten Windows-Funktionen. Die virtualisierungsbasierten Sicherheitsenklaven, auf englisch virtualization-based security enclaves (VBS) genannt (nicht zu verwechseln mit Visual-Basic-Skripten, die die Abkürzung VBS teilen), stellen eine softwarebasierte "Trusted Execution Environment" (TEE) bereit. Dahinter stecken isolierte Adressräume und virtualisierte Maschinen, die Code und Daten in geschützten Bereichen von dem "normalen" Programm- und Kernel-Code abschotten. Verschlüsselungsfunktionen werden oftmals in solchen TEEs angeboten, sie können auch TPM-Funktionen bereitstellen. Für gewöhnlich stellen Prozessoren und Betriebssysteme solche Bereiche bereit, etwa auf ARM-basierten Android-Smartphones; Microsoft hält ebenfalls solche Bereiche vor.

Diese Funktion wirft Microsoft in Kürze aus Windows 11 23H2 und älteren sowie aus Windows Server 2022 und Betriebssystemversionen davor raus. Sie bleiben für Windows 11 24H2 sowie Windows Server 2025 und jeweils neueren Fassungen verfügbar. Entwickler müssen gegebenenfalls die SDKs und Visual Studio auf neueren Stand bringen. Wer auf der Kundenseite noch ältere Windows-Fassungen einsetzt und diese Funktionen für die Software benötigt, muss die Aktualisierung des Windows-Betriebssystems in absehbarer Zeit einplanen.

Bereits vor zwei Wochen hat Microsoft die "Microsoft UWP Map Control" und "Windows Maps Platform APIs" abgekündigt. Dahinter verbirgt sich die Unterstützung für Karten-Apps, wobei Microsoft die Systeme "Bing Maps for Enterprise" sowie "Azure Maps" zusammenführen unter dem Dach des letztgenannten Dienstes betreiben will. Wer in seinem Programmcode auf die Windows UWP Map Control setzt, sollte sich innerhalb eines Jahres um einen Ersatz auf Basis von Azure Maps umsehen. Auf der Ersatz-Ressourcen-Website zu abgekündigten Funktionen verlinkt Microsoft für Entwickler hilfreiche Anleitungen zum Wechsel, Code-Beispiele und die Blogs zu den beiden Maps-Diensten.

Nicht jede Ankündigung für veraltete Funktionen erhält Microsoft jedoch auch aufrecht. Anfang April hat Microsoft erklärt, dass das Ende der Driver Synchronization in WSUS – geplant am 18. April dieses Jahres – nun doch erst mal auf die lange Bank geschoben wird. Rückmeldungen aus der Kundschaft haben gezeigt, dass diese Funktion insbesondere für den Inselbetrieb, also in isolierten Netzwerken wie beispielsweise auf Schiffen, derzeit noch unverzichtbar ist.

Die Sicherheit von Asus-Routern ist durch eine Schwachstelle in Asus' AiCloud-Dienst bedroht. Angreifer können dadurch unbefugt Funktionen ausführen, warnt der Hersteller.

Im CVE-Eintrag zur Schwachstelle erörtert Asus, dass in der AiCloud eine unzureichende Authentifizierungskontrolle stattfinde. Diese lasse sich durch manipulierte Anfragen missbrauchen, um ohne Autorisierung Funktionen auszuführen (CVE-2025-2492, CVSS 9.2, Risiko "kritisch").

Da Asus keine Details zu der Schwachstelle nennt, liefern die Angaben keine Einblicke, wie Angreifer sie etwa missbrauchen können. Die Asus AiCloud-Software stellt jedoch Funktionen bereit, um etwa mittels App auf Daten im heimischen LAN zugreifen zu können, also überall Zugang zu den eigenen Daten zu erhalten. In der Sicherheitsmitteilung schreibt Asus lediglich, dass die Entwickler aktualisierte Firmware für die Serien 3.0.0.4_382, 3.0.0.4_386, 3.0.0.4_388 und 3.0.0.6_102 veröffentlicht hat. Die soll die Schwachstelle ausbessern.

Asus empfiehlt, die neue Firmware zu installieren, die auf der Asus-Support-Webseite erhältlich ist, wenn man nach der Modellnummer sucht. Als weiteren Sicherheitstipp nennt der Hersteller, dass etwa das WLAN und die Router-Administrationswebseite unterschiedliche Passwörter haben sollten. Diese sollten zudem mindestens zehn Zeichen lang sein und einen Mix aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen aufweisen. Explizit warnt Asus vor Passwörtern mit einfachen Zahlen- oder Buchstabenfolgen, wie sie sich etwa alphabetisch sortiert oder durch das Drücken der auf der Tastatur nebeneinander liegenden Tasten ergeben.

Denjenigen, die das Update nicht durchführen können oder die aufgrund des End-of-Life ihres eingesetzten Geräts kein Firmware-Update erhalten können, rät Asus, darauf zu achten, dass Router- und WLAN-Passwörter stark sind. Zudem sollten Betroffene AiCloud deaktivieren und jedweden Dienst abschalten, der aus dem Internet erreichbar ist, wie den Fernzugriff aus dem WAN, Portforwarding, DDNS, den VPN-Server, die DMZ, Porttriggering und FTP.

Das Wordpress-Plug-in Greenshift soll Websites hübscher machen und die mobile Darstellung optimieren. Nun können Angreifer unter bestimmten Voraussetzungen aber an einer Sicherheitslücke ansetzen und Seiten kompromittieren. Mittlerweile haben die Entwickler die Lücke geschlossen. Dafür waren aber zwei Sicherheitsupdates nötig.

Vor der Schwachstelle (CVE-2025-3616, Risiko "hoch") warnen Sicherheitsforscher von Wordfence in einem Beitrag. Weil die Funktion gspb_make_proxy_api_request() Dateitypen nicht ausreichend validiert, können authentifizierte Angreifer mit Subscriber-Level-Zugriff an der Lücke ansetzen und über die Uploadfunktion Schadcode hochladen.

Davon sind die Greenshift-Versionen 11.4 bis einschließlich 11.4.5 betroffen. Die Ausgabe 11.4.5 war bereits gepatcht, doch das Sicherheitsupdate war unzureichend. Erst in der Version 11.4.6 ist das Plug-in gegen die geschilderte Attacke gerüstet.

Wie aus der Beschreibung des Plug-ins hervorgeht, weist es mehr als 50.000 aktive Installationen auf. Auch wenn es noch keine Berichte zu laufenden Attacken gibt, sollten Webadmins zeitnah reagieren und sicherstellen, dass die aktuelle Version installiert ist.

Vergangene Woche wurde bekannt, dass eine Sicherheitslücke im Wordpress-Plug-in Suretriggers rund 100.000 Webseiten gefährdet, auf denen die Software installiert ist. Diese Schwachstelle wird bereits von Kriminellen attackiert und zur Kompromittierung von Wordpress-Instanzen aktiv missbraucht.

Eine Schwachstelle in Microsofts NTLM-Authentifizierung wird in freier Wildbahn missbraucht. Durch das Senden manipulierter Dateien in E-Mails leiten bösartige Akteure NTLM-Hashes um, mit denen sie dann auf Rechner zugreifen können. Davor warnt jetzt unter anderem die US-amerikanische IT-Sicherheitsbehörde CISA.

Die attackierte Sicherheitslücke hat Microsoft im März mit Windows-Updates geschlossen. Es handelt sich um eine "NTLM Hash Disclosure Spoofing"-Schwachstelle. "Externe Kontrolle über einen Dateinamen oder Pfad in Windows NTLM ermöglicht nicht autorisierten Angreifern, Spoofing über das Netz auszuführen", beschreibt Microsoft das Leck (CVE-2025-24054, CVSS 6.5, Risiko "mittel"). Das Unternehmen ergänzte die Einschätzung, dass ein Missbrauch wenig wahrscheinlich sei ("Exploitation less likely").

IT-Sicherheitsforscher von Checkpoint haben ab dem 19. März Attacken auf diese Sicherheitslücke beobachtet. Ziel dieser Malware-Kampagne waren Regierung und private Einrichtungen in Polen und Rumänien. Die Angreifer haben E-Mails an Opfer geschickt, die Links auf Dropbox enthielten. Die Archive von dort enthielten Dateien, die mehrere Sicherheitslücken einschließlich CVE-2025-24054 missbrauchen, um NTLMv2-SSP-Hashes abgzugreifen (NTLM Security Support Provider).

Solche NTLM-Relay-Angriffe fallen unter die Kategorie der Man-in-the-Middle-Angriffe (MitM), mit denen die NTLM-Authentifizierung attackiert wird. Anstatt das Passwort zu knacken, fangen Angreifer den Hash ab und geben ihn an einen anderen Dienst weiter, um sich als Benutzer zu authentifizieren, erklären die IT-Forscher.

Mit bösartig manipulierten .library-ms-Dateien erfolgten die dann später auch global beobachteten Angriffe, die die NTLM-Hashes an die Täter umleiteten, die dadurch in eine Man-in-the-Middle-Position gelangten, was ihnen das Kompromittieren der verwundbaren Systeme ermöglichte. Der Exploit in den Dateien wird beim Entpacken des .zip-Archivs aktiv, die späteren Angriffe erfolgten dann mit nicht gepackten Dateien. Microsofts Beschreibung zufolge genügt auch weniger Nutzerinteraktion, um die Lücke zu missbrauchen. Ein Rechtsklick, Drag'n'Drop von Dateien oder einfach das Öffnen eines Ordners mit der präparierten Datei ermöglicht das Ausschleusen der NTLM-Hashes. Die Checkpoint-Analyse enthält am Ende noch Indizien für Angriffe (Indicators of Compromise, IOCs).

Wer einen Webex-Client für die Konferenzsoftware für Cisco in den Versionen 44.6 oder 44.7 einsetzt, sollte die Software dringend aktualisieren. In diesen Ausgaben, und zwar unter gleich welchem Betriebssystem, steckt ein fehlerhafter URL-Parser. Dieser kann nach Darstellung des Herstellers dafür sorgen, dass durch einen präparierten Einladungslink zu einer Webex-Konferenz ausführbare Dateien heruntergeladen werden können.

Diese laufen dann mit allen Rechten des Nutzers. Ob dabei eventuelle Schutzmechanismen eines Betriebssystems noch anschlagen, geht aus der Mitteilung von Cisco nicht hervor. Die vorläufige CVE-Einstufung der Lücke lautet für das Risiko "Hoch", der Score beträgt 8,8 von 10 Punkten. Einen Workaround gibt es nicht.

Betroffen sind nur die eingangs genannten Versionen der Webex-Clients, laut Cisco unter anderem auch nicht Ausgabe 44.5 und Versionen vor dieser. Ab Version 44.8 sollen die Clients die Lücke nicht mehr aufweisen. Wie sie auftreten konnte, und warum sie nur bei 44.6 und 44.7 auftritt, gab Cisco nicht bekannt. Die reparierte und aktuelle Version 44.8 steht auf den Download-Seiten von Cisco bereit.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der KI-Verordnung der EU soll Künstliche Intelligenz und deren Einsatz umfassend regulieren. Doch wie passt dieses Gesetz zu den bestehenden Datenschutzregeln, insbesondere der Datenschutz-Grundverordnung (DSGVO)? In der aktuellen Folge des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Prof. Dr. Rolf Schwartmann, dem Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit (GDD).

Prof. Rolf Schwartmann beim Podcasten in der Auslegungssache

Schwartmann weist zunächst auf die unterschiedlichen Ziele beider Regelwerke hin. Während die DSGVO klare Vorgaben für den Umgang mit personenbezogenen Daten macht, ist die KI-Verordnung eine Produktregulierung. Sie definiert, unter welchen Bedingungen Anbieter und Nutzer von KI-Systemen agieren dürfen. Beide Gesetze haben zwar den Schutz von Grundrechten im Blick, verfolgen aber gänzlich unterschiedliche Ansätze.

Ein zentrales Problem sieht die Runde im Zusammenspiel der beiden Gesetze bei der generativen KI, also Systemen wie ChatGPT. Diese KI-Modelle sind grundsätzlich nicht zweckgebunden, sondern flexibel einsetzbar, was mit dem Grundsatz der Zweckbindung aus der DSGVO nur schwer vereinbar ist. Es bestehe die Gefahr, dass viele die KI rechtswidrig, aber sanktionslos einsetzen. Schwartmann betont, dass Nutzer generativer KI für Schäden durch falsche Ergebnisse haften könnten.

Hinzu kommen Herausforderungen wie die automatisierte Entscheidungsfindung: Die DSGVO verbietet automatisierte Entscheidungen mit erheblichen rechtlichen Folgen oder wesentlichen Beeinträchtigungen, während die KI-Verordnung solche Systeme unter strengen Voraussetzungen durchaus erlaubt. Allerdings knüpft sie dies an umfangreiche Compliance-Pflichten.

Wenige Tage nachdem Großbritannien eine elektronische Einreisegenehmigung zur Voraussetzung für Besuche gemacht hat, warnt die deutsche Polizei vor einer neuen Masche, bei der Kriminelle das zu Phishing-Zwecken ausnutzen. In einer Pressemitteilung verweist das Polizeipräsidium Mittelhessen auf den Fall einer betrogenen Frau, gibt Hinweise für die richtige Beantragung und verweist auf die korrekte Website der britischen Regierung. Wegen eines Zeilenumbruchs in der URL führt der Link allerdings ins Leere.

Wie die Polizei erläutert, ist die Frau auf eine seriös erscheinende, aber gefälschte Internetseite hereingefallen, die sie über eine Recherche per Suchmaschine gefunden hat. Dort reichte sie eine Bewerbung für ein Touristenvisum ein und bezahlte per Kreditkarte die geforderte Gebühr von 99 US-Dollar. Ein Foto sowie eine Kopie ihres Reisepasses sollte sie ebenfalls einreichen. Auch dem sei sie nachgekommen. Erst nach Erhalt der angeblichen Bestätigung ihres Visums habe sie Verdacht geschöpft, ihre Kreditkarte gesperrt und die Website erneut aufgerufen. Ihr Antivirusprogramm habe die dann als Phishing-Seite ausgewiesen, woraufhin sie Anzeige erstattete.

Angesichts des Betrugsfalls rät die Polizei dazu, die offizielle Seite zu benutzen. Dort gibt es auch Verweise zu den offiziellen Apps für Android und iOS. Nicht vertrauen dürfe man nicht auf die ersten Ergebnisse in den Trefferlisten von Suchmaschinen, Seiten mit den Top-Level-Domains .org oder .com gehörten nicht der britischen Regierung. Versprechen auf ein "schnelles Visum" oder eine "Garantie" von privaten Anbietern seien unseriös. Der offizielle Antrag für eine "Electronic Travel Authorisation" kostet knapp 20 Euro und die Bearbeitungszeit beträgt drei Tage.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der Open Source Technology Improvement Fund (OSTIF) hat mit Unterstützung des Sovereign Tech Fund und in Zusammenarbeit mit Quarkslab und der PHP Foundation im vergangenen Jahr eine umfassende Sicherheitsprüfung des PHP-Interpreters (PHP-SRC) durchgeführt. Diese Prüfung zielte darauf ab, die Sicherheit des weitverbreiteten Skriptsprachen-Interpreters noch vor der Veröffentlichung der Version PHP 8.4 im November 2024 zu verbessern.

Im Rahmen des Audits, das offenbar fast zwei Monate dauerte, führten die Experten von Quarkslab eine detaillierte Analyse durch, die sowohl manuelle Codeüberprüfungen als auch dynamische Tests und kryptografische Überprüfungen umfasste. Insgesamt wurden 27 Schwachstellen festgestellt, darunter 17 sicherheitsrelevante Probleme. Zu den schwerwiegendsten entdeckten Schwachstellen zählen zwei mit hoher und sechs mit mittlerer Schwere.

Einige der identifizierten Sicherheitslücken umfassen:

Die PHP Foundation hebt in einem Blogbeitrag hervor, dass aufgrund eingeschränkter Budgetmittel nur die kritischsten Komponenten des Quellcodes geprüft wurden. Zu den überprüften Komponenten gehören unter anderem der PHP-FPM (FastCGI Process Manager), der MySQL-Datenbanktreiber und kryptografische Funktionen.

(Bild: nuevoimg / 123rf.com)

Der Autovermieter Hertz und 59 weitere Unternehmen wurden im Januar 2025 mit der Veröffentlichung sensibler Daten im Darknet erpresst. Nun hat das Unternehmen den Datenklau eingeräumt und erste Ergebnisse von Untersuchungen vorgelegt.

In einem nun veröffentlichten Dokument erläutert Hertz den Vorfall. "Cleo ist ein Anbieter, der eine Plattform zum Datentransfer zur Verfügung stellt, die Hertz für begrenzte Zwecke einsetzt", schreibt das Unternehmen. "Am 10. Februar 2025 haben wir bestätigen können, dass Daten von Hertz von unberechtigten Dritten erlangt wurden, die nach unseren Erkenntnissen Zero-Day-Schwachstellen in der Cleo-Plattform im Oktober 2024 und Dezember 2024 missbraucht haben".

Hertz habe umgehend die Daten analysiert, um das Ausmaß des Ereignisses herauszufinden und die Individuen zu identifizieren, deren persönliche Informationen von dem Ereignis betroffen sein könnten. "Wir haben die Analyse am 2. April 2025 abgeschlossen und sind zu dem Schluss gekommen, dass die von dem Vorfall betroffenen persönlichen Daten von Individuen aus der EU Name, Kontaktdaten, Geburtsdatum, Führerscheindaten und Zahlungskartendaten umfassen können. Bei einer kleinen Nummer Betroffener könnten auch die Ausweisdaten von dem Ereignis betroffen sein", erklärt Hertz weiter.

Hertz habe sichergestellt, dass Cleo Schritte unternommen habe, den Vorfall zu untersuchen und die erkannten Schwachstellen anzugehen, heißt es weiter. Strafverfolgungsbehörden wurden bereits informiert, die Benachrichtigung zuständiger Regulierungsbehörden erfolge derzeit. Das Autovermietungsunternehmen hat zudem das Unternehmen Kroll mit einer Darknet-Überwachung bezüglich der Daten der Betroffenen beauftragt. Zwar seien dem Unternehmen keine Missbrauchsfälle mit den abgeflossenen Informationen bekannt, Betroffene sollten jedoch Vorsicht walten lassen, um nicht Opfer von Betrug zu werden. Sie sollten zudem bei Kontoauszügen und Kreditberichten auf nicht autorisierte Aktivitäten achten.

Im Januar ist die Cybergang Cl0p durch eine Sicherheitslücke in der Datentransfersoftware Cleo bei vielen Unternehmen eingebrochen und hat dort dann teils sensible Daten kopiert. Das Geschäftsmodell der kriminellen Gruppierung ist die Erpressung betroffener Unternehmen mit der Androhung der Veröffentlichung der kopierten Daten, sollten die Unternehmen nicht zahlen.

Ubuntu weist aktuell darauf hin, dass der reguläre Support für die Linux-Distribution in Version 20.04 (Focal Fossa), die im April 2020 erschienen ist, in Kürze endet. Als Optionen für Betroffene empfiehlt Ubuntu, entweder eine erweiterte Support-Liznz Ubuntu Pro zu kaufen oder auf das Ubuntu 24.04 zu aktualisieren – allerdings mit kleiner Schleife im Prozess.

Focal Fossa ist eine Long-Term-Support-Version (LTS), die fünf Jahre lang mit Sicherheitsupdates versorgt wird. Damit ist am 29. Mai 2025 Schluss. Ubuntu empfiehlt Nutzern, zu prüfen, ob eine Aktualisierung auf 24.04 – ebenfalls eine LTS-Version – infrage kommt. Der offizielle Migrationspfad erfolgt jedoch über den Zwischenschritt auf Ubuntu 22.04 (auch LTS). Dafür stellt Ubuntu Anleitung und Hinweise auf mögliche Stolperfallen bereit: eine Anleitung für das Upgrade auf Ubuntu 22.04 LTS (Jammy Jellyfish) und im Anschluss die für die Aktualisierung auf Ubuntu 24.04 LTS (Noble Numbat).

Die beiden Versionen erhalten noch aktiv Unterstützung mit Sicherheitsupdates und Fehlerkorrekturen, erörtert das Unternehmen. Für diejenigen, für die das Upgrade nicht infrage kommt, bietet Ubuntu mit Ubuntu Pro das offizielle verlängerte Support-Programm "Expanded Security Maintenance" an.

Ubuntu Pro liefert Aktualisierungen für tausende Pakete für insgesamt zehn Jahre. Vor einem Jahr hat Ubuntu den Support-Zeitraum im Ubuntu-Pro-Programm sogar noch weiter ausgedehnt, Interessierte können zwei weitere Jahre Support buchen. Damit sind sogar zwölf Jahre Support möglich und es lässt sich derzeit sogar noch die Ubuntu-Version 14.04 betreiben, ohne auf Sicherheitsupdates verzichten zu müssen.

Im April 2020 wurde Ubuntu 20.04 veröffentlicht. Die auffälligsten Änderungen betraf optische Neuerungen, Performance-Verbesserungen sowie Unterstützung für das ZFS-Dateisystem.

Atlassian hat für Bamboo, Confluence und Jira Aktualisierungen herausgegeben, die als hohes Risiko eingestufte Sicherheitslücken in den Produkten abdichten sollen. IT-Verantwortliche sollten die Updates zeitnah herunterladen und anwenden.

In der Übersicht der April-Updates von Atlassian gehen die Entwickler auf Details zu den Schwachstellen ein. In Bamboo steckt eine Denial-of-Service-Schwachstelle aufgrund der Drittherstellerkomponente Netplex Json-smart (CVE-2024-57699, CVSS 7.5, Risiko "hoch"). Confluence ist aufgrund der "io.netty"-Komponente ebenfalls für eine Denial-of-Service-Situation anfällig (CVE-2025-24970, CVSS 7.5, Risiko "hoch"). Außerdem können Angreifer eine XML External Entity Injection-Schwachstelle (XXE) in der Bibliothek "org.codehaus.jackson:jackson-mapper-asl" missbrauchen – die Lücke scheint schon gut abgehangen zu sein und hat einen Schwachstelleneintrag von 2019 (CVE-2019-10172, CVSS 7.5, Risiko "hoch").

Eine weitere XXE-Schwachstelle betrifft Jira (CVE-2021-33813, CVSS 7.7, Risiko "hoch"). Zudem können Angreifer aufgrund einer Schwachstelle in der "net.minidev.json-smart"-Bibliothek eine Denial-of-Service-Situation auslösen (CVE-2024-57699, CVSS 7.5, Risiko "hoch"). Jira Service Management enthält ebenfalls eine XXE-Lücke (CVE-2021-33813, CVSS 7.7, Risiko "hoch") und teilt die Schwachstelle in der "net.minidev.json-smart"-Bibliothek mit Jira.

Betroffen sind unterschiedliche Entwicklungszweige der Software, aber zum Korrigieren der sicherheitsrelevanten Fehler stellt Atlassian folgende Versionen bereit:

Im Februar hatte Atlassian ebenfalls Aktualisierungen veröffentlicht, die hochriskante Schwachstellen ausbessern. Dort waren neben Bamboo auch Bitbucket und Jira von den Sicherheitslücken betroffen.

In den Firewalls der SMA100-Serie von Sonicwall wird derzeit eine alte Sicherheitslücke aktiv angegriffen. Das hat die US-amerikanische IT-Sicherheitsbehörde CISA nun mitgeteilt und die Sicherheitslücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen.

Aber auch Sonicwall hat eine Sicherheitsmitteilung aktualisiert und räumt darin aktuell beobachtete Cyberangriffe ein. Ursprünglich wurde die Lücke im September 2021 bekannt. "Unzureichende Filterung von Elementen in der Verwaltungsoberfläche der SMA100-Baureihe ermöglicht angemeldeten Angreifern aus dem Netz, beliebige Befehle als User 'nobody' einzuschleusen, was möglicherweise zu einem Denial-of-Service führt", lautet die Schwachstellenbeschreibung des CVE-Eintrags CVE-2021-20035, damals mit CVSS 6.5 als Risikostufe "mittel" bewertet.

Nun findet sich bei Sonicwall der CVSS-Wert 7.2, die Lücke gilt demnach als Risiko-Stufe "hoch". Außerdem lautet die Beschreibung nun am Ende nicht mehr, dass Angreifer einen Denial-of-Service provozieren können, sondern als Auswirkung können sie tatsächlich offenbar Schadcode einschleusen und ausführen, wie die aktualisierte Mitteilung ausführt. Ergänzt hat Sonicwall zudem unter der Kommentar-Rubrik: "Diese Schwachstelle wird möglicherweise in freier Wildbahn missbraucht".

Aus der SMA100-Baureihe sind die Geräte SMA 200, 210, 400, 410 sowie 500v (sowohl für ESX, KVM, AWS und Azure) anfällig. Die Firmware-Versionen 10.2.1.1-19sv, 10.2.0.8-37sv sowie 9.0.0.11-31sv und jeweils neuere stopfen die missbrauchten Sicherheitslecks. IT-Verantwortliche sollten zügig die bereitstehenden Aktualisierungen anwenden.

Weder Sonicwall noch die CISA schreiben näher, wie die beobachteten (oder "möglichen") Angriffe aussehen und in welchem Umfang sie stattfinden. Es ist daher auch unklar, wie IT-Admins erkennen können, ob sie Angegriffen oder gar kompromittiert wurden.

Microsoft hat weitere Probleme eingeräumt, auf die Admins und Nutzer nach der Installation der jüngsten Sicherheitsupdates stoßen können. Sowohl Server- als auch Desktop-Betriebssysteme sind davon betroffen.

Im Windows-Release-Health-Center für Windows Server 2025 erklären Microsofts Entwickler, dass Windows Server 2025 in der Domaincontroller-Rolle (DC) – etwa, wenn sie als DC ein Active Directory hosten – nach einem Neustart "Netzwerkverkehr nicht korrekt verwalten" können. Dadurch sind Windows Server 2025 DCs möglicherweise nicht im Domänennetz erreichbar, oder fälschlicherweise durch Netzwerk-Ports und -Protokolle ansprechbar, die durch das Domänen-Firewall-Profil verhindert sein sollten.

Das Problem gehe daraus hervor, dass die Nutzung des Domain-Firewall-Profils auf den Domaincontrollern fehlschlägt, sofern sie neu gestartet werden. Stattdessen komme dann das Standard-Firewall-Profil zum Einsatz. Im Ergebnis können Apps und Dienste, die auf dem DC laufen, oder auf Geräten im Netz laufen, fehlschlagen oder in der Domäne nicht erreichbar sein. Ein Gegenmittel hat Microsoft jedoch gefunden. Durch den Neustart des Netzadapters stelle sich das erwartete Verhalten – also die Nutzung des Firewall-Domain-Profils – wieder ein. Etwa durch den Befehl Restart-NetAdapter * an der Powershell lässt sich das erreichen, schreiben Microsofts Entwickler. Das ist vorerst bei jedem Neustart betroffener DCs nötig. IT-Verantwortliche können eine geplante Aufgabe einrichten, die diesen Adapter-Neustart nach einem Rechner-Neustart des DC durchführt, schlägt Microsoft weiter vor. Derweil arbeiten die Entwickler an einer Lösung des Problems.

Aber die Probleme hören bei Servern nicht auf, auch auf Windows-11-Clients kommt es nach der Installation der Windows-Sicherheitsupdates zu unerwünschten Nebeneffekten. So weist Microsoft in Notizen zum Sicherheitsupdate darauf hin, dass nach der Installation der Ordner %systemdrive%\inetpub – in der Regel also c:\inetpub – angelegt wird. Microsoft schreibt dazu: "Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob Internetinformationsdienste (IIS) auf dem Zielgerät aktiviert ist. Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen, und erfordert keine Aktion von IT-Administratoren und Endbenutzern." Der Patch, der das auslöst, schließt eine Rechteausweitungs-Sicherheitslücke in Windows (CVE-2025-21204, CVSS 7.8, Risiko "hoch").

Nun ist noch ein weiteres Problem bekanntgeworden, das bislang lediglich in den englischsprachigen Windows-Update-Anmerkungen für Windows 11 24H2 zu finden ist: Nach der Installation der Updates kann es beim Neustart zu einem Bluescreen of Death (BSoD) kommen. Eine "Bluescreen-Ausnahmebedingung mit dem Fehlercode 0x18B, die auf einen SECURE_KERNEL_ERROR hinweise" könne auftreten. Microsoft hat deshalb den Mechanismus Known-Issue-Rollback (KIR) angestoßen, der innerhalb von 24 Stunden auf Endkunden- und nicht-verwalteten-Geräten wirksam wird und die problematischen Update-Komponenten entfernt.

Notfall-Updates für iPhones, iPads und Macs: Apple beseitigt mit den neuen Versionen iOS 18.4.1, iPadOS 18.4.1 sowie macOS 15.4.1 Sequoia zwei schwere Sicherheitslücken in seinen Betriebssystemen. Nutzer sollten die Updates umgehend einspielen.

Die Schwachstellen ermöglichen Angreifer offenbar, gezielte und "extrem ausgeklügelte Angriffe" auf einzelne iPhone-Nutzer durchzuführen, wie der Hersteller unter Verweis auf einen Bericht vermerkt. Weitere Details zu diesen Angriffen wurden nicht genannt. Gewöhnlich handelt es sich hier um kommerzielle Spyware, die von staatlichen Stellen gegen Zielpersonen eingesetzt wird.

Die Patches liegen mit tvOS 18.4.1 auch für Apple-TV-Boxen und die Vision Pro (visionOS 2.4.1) vor. Für ältere Betriebssystemversionen von iOS, iPadOS und macOS und damit auch bestimmte ältere Hardware gibt es aktuell keine Updates. Ob diese noch folgen, bleibt offen. Für iPadOS 17 und iOS 16 auf bestimmten älteren iPhones und iPads stellte Apple zuletzt noch Sicherheits-Patches bereit. iOS 17 erhält offenbar keine weiteren Updates mehr: Alle iPhones, die iOS 17 unterstützen, können auch auf iOS 18 aktualisieren.

Eine Speicherverwaltungsschwachstelle in CoreAudio ermöglichte demnach die Ausführung von Code bei der Wiedergabe eines Audiostreams mithilfe einer manipulierten Mediendatei. Die Schwachstelle CVE-2025-31200 entdeckten offenbar Sicherheitsforscher von Apple und Google. Noch heikler erscheint die zweite Lücke, die es Angreifern mit Lese- und Schreibrechten ermöglichte, die in Apple-Chips integrierte Sicherheitstechnik Pointer Authentication Codes zu umgehen und so beliebigen Code auszuführen. Das Problem wurde beseitigt, indem der fehlerhafte Code entfernt wurde, schreibt Apple.

Neben den wichtigen Patches soll iOS 18.4.1 auch einen Bug auf iPhones ausräumen, der die Verbindungsaufnahme zu drahtlosen CarPlay-Infotainmentsystemen in bestimmten Fahrzeugmodellen störte. Laut Apple trat der Fehler nur selten auf.

Die Macher der anonymisierenden Linux-Distribution Tails haben als Notfallupdate die Version 6.14.2 veröffentlicht. Sie schließt Sicherheitslücken im Linux-Kernel und dem Perl-Interpreter.

In der Versionsankündigung erklären die Tails-Entwickler die Änderungen. Zum einen hievt Tails 6.14.2 den Kernel auf Version 6.1.133 – und der stopft gleich mehrere Sicherheitslücken, die Angreifer etwa zu Rechteausweitung oder den unbefugten Zugriff auf Informationen missbrauchen können. Die zugehörige Debian-Meldung enthält einen Schwung von 108 CVE-Einträgen, die mit der aktualisierten Fassung korrigiert werden.

Das könnte die Vertraulichkeit des anonymisierenden Linux unterwandern. Dies ist ebenfalls aufgrund einer weiteren Sicherheitslücke im Perl-Interpreter möglich. Darin können Angreifer einen Heap-basierten Pufferüberlauf ausnutzen, um die Software lahmzulegen oder potenziell sogar Schadcode einzuschleusen und auszuführen (CVE-2024-56406, derzeit keine konkrete Risikoeinschätzung verfügbar).

Andere Software-Bestandteile haben demnach keine signifikanten Neuerungen erfahren. Wer Tails nutzt, sollte umgehend auf die neue Fassung aktualisieren, um die Anonymisierungsfunktionen nicht zu gefährden. Es stehen wie üblich aktuelle Images für das Verfrachten auf USB-Sticks bereit und solche für DVDs oder die Nutzung in der VM.

Vor zwei Wochen haben die Tails-Entwickler Version 6.14.1 veröffentlicht. Während der Tests der 6.14-Fassung stießen sie auf Probleme, die sich korrigierten, und gingen dann gleich mit der erhöhten Versionsnummer nach draußen. In der Fassung haben sie etwa die Integration des Tor-Browsers und einige kleinere Fehler korrigiert. Durch den Schwenk auf AppArmor sind nun mehr Freiheiten ohne Einschränkung bei der Sicherheit vorhanden, etwa mehr Orte für das Speichern von Dateien.

Der Webbrowser Chrome ist in aktualisierter Version erschienen – und schließt damit eine als kritisch einsortierte Sicherheitslücke. Chrome-Nutzerinnen und -Nutzer sollten sicherstellen, dass die aktuelle Fassung bei ihnen läuft.

In einer Versionsankündigung umreißen Googles Entwickler die Schwachstellen sehr knapp, die die neue Fassung schließt. "Heap-basiertert Pufferübelauf in Codecs", deuten sie dort an, mit dem CVE-Eintrag CVE-2025-3619 und der Einstufung des Risiko als "kritisch". Ein konkreter CVSS-Wert fehlt, wie es bei Googles Chrome-Schwachstellenmeldungen üblich ist. Es gibt keine weiteren Details, aber es lässt sich herleiten, dass bereits das Verarbeiten manipulierter Multimediadateien wie Videos zur Kompromittierung des Geräts führen kann.

Bei der zweiten Lücke handelt es sich um eine Use-after-free-Schwachstelle im USB-Code von Chrome. Dabei greift der Programmcode fälschlicherweise auf Ressourcen zu, die zuvor bereits freigegeben wurden und deren Inhalt daher undefiniert ist. Oftmals kann das zum Einschleusen und Ausführen von Schadcode missbraucht werden – offenbar auch in diesem Fall, was die Risikoeinstufung als "hoch" für den CVE-Eintrag CVE-2025-3620 impliziert.

Die Browser-Versionen 135.0.7049.95/.96 für macOS und Windows, 135.0.7049.95 für Linux, 135.0.7049.100 für Android sowie die Extended-Stable-Fassung 134.0.6998.205 für macOS und Windows stellen den derzeit aktuellen Stand dar. Sie enthalten die Sicherheitslücken nicht mehr.

Der Klick auf das Icon mit den drei übereinandergestapelten Punkten rechts von der Adressleiste des Browsers öffnet das Chrome-Menü, Unter "Hilfe" – "Über Google Chrome" gelangt man zum Versionsdialog. Der zeigt die aktuell laufende Softwarefassung an. Sind Updates verfügbar, lädt der Dialog sie gleich herunter und installiert sie, um im Anschluss zum Browser-Neustart zur Aktivierung der fehlerkorrigierten Software aufzufordern. Unter Linux zeichnet in der Regel die Softwareverwaltung der eingesetzten Distribution für das Update verantwortlich.

Unter dem Eindruck einer drohenden CVE-Abschaltung haben sich in den Morgenstunden des 16. April verschiedene Initiativen und Organisationen bemüht, Alternativen an den Start zu bringen. CVE steht für Common Vulnerabilities and Exposures (Allgemeine Schwachstellen und Gefährdungen) und dient international zur Dokumentierung von Sicherheitslücken.

Die Bandbreite der Bemühungen ist dabei durchaus beeindruckend: Während sich die einen eher auf die organisatorische Überführung des CVE-Systems in eine Stiftung konzentrieren wollen, stellte die EU-Cybersicherheitsbehörde ENISA ihre seit vergangenem Jahr angekündigte Alternativlösung kurzerhand ins Web.

Bereits im Juni 2024 kündigte ENISA (European Network and Information Security Agency) an, sie arbeite im Einklang mit der NIS2-Richtlinie an einer eigenen Schwachstellendatenbank namens European Vulnerability Database. Anfang April war die Datenbank dann überraschend online – jedoch nur für wenige Stunden. Auf Nachfrage durch heise security antwortete eine ENISA-Sprecherin damals, es habe sich um einen Funktionstest während der Entwicklung gehandelt. Nach der MITRE-Ankündigung einer möglichen Stilllegung entschied man sich dann in Athen offenbar kurzerhand, Nägel mit Köpfen zu machen und die Gunst der Stunde zu nutzen.

Die US-Cybersicherheitsbehörde CISA hat derweil offenbar ein Optionsrecht ausgeübt und den auslaufenden Vertrag in letzter Sekunde verlängert. Das zumindest berichtet Metacurity auf Mastodon, unter Berufung auf ungenannte Sprecher bei MITRE und CISA. Die Verantwortlichen würden lediglich auf die Unterschrift warten; es gebe bald "gute Nachrichten". Wir werden diese Meldung aktualisieren, sobald diese guten Nachrichten tatsächlich eintreffen.

Bei MITRE im US-Bundesstaat Virginia wird es im Juni wegen der DOGE-bedingten Kürzungen über 400 Kündigungen geben, berichtete das lokale Nachrichtenportal Virginia Business. Zum 3. Juni 2025 sollen 442 Personen ihre Stelle verlieren, weil verschiedene US-Regierungsstellen ihre Verträge mit MITRE gekündigt hätten, so der Bericht weiter.

Der deutsche Smartphone-Hersteller Volla Systeme hat die Beta-Phase der Volla Messages App eröffnet und damit für viele Schlagzeilen gesorgt. Der Messenger sei eine WhatsApp- und Telegram-Alternative, aber sogar "Made in Germany". Viel Vorschusslorbeeren, die bei genauerer Betrachtung jedoch ziemlich deplatziert wirken.

Für eine erste Beta-Version wenig verwunderlich, bietet Volla Messages momentan nur Basisfeatures: Man könne "Textnachrichten senden sowie Links, Fotos und Dateien teilen – inklusive Download-Option", schreibt der Anbieter. Audio- und Videokonferenzen für Gruppen und Einzelkontakte seien in Planung. Volla Messages ist eine Peer-to-Peer-Anwendung (P2P): Geräte der Nutzer schließen sich zur "Volla Cloud" zusammen und leiten so Nachrichten weiter. Eine Registrierung oder Kontoerstellung soll nicht nötig sein und klassische Server wie bei zentral oder föderiert organisierten Messengern entfallen. Partner, die miteinander chatten wollen, müssen zuvor irgendwie anderweitig einen Kontaktcode austauschen, um einander zu finden.

Peer-to-Peer, verschlüsselt und angeblich sicher. Recht viel mehr erfährt man aber nicht, vermutlich kann WhatsApp noch gelassen auf diese Konkurrenz blicken.

(Bild: Volla Messages)

Um Verfügbarkeit sicherzustellen, verteilen derartige P2P-Systeme Daten oft auf diverse, nicht vertrauenswürdige Endgeräte. Sie müssen dann großen Aufwand treiben, um Datenintegrität und -sicherheit herzustellen sowie beispielsweise Betroffenenrechte nach der DSGVO zu garantieren. Volla umgeht diese Probleme, indem Daten ausschließlich zwischen Chatpartnern weitergegeben werden, wie das Unternehmen auf Nachfrage von heise online erklärt. Das bedeutet aber auch "dass ein Nachrichtenaustausch nur möglich ist, wenn mindestens ein weiterer Knoten im Netz verbunden ist." Chatpartner müssen bei Volla Messages also simultan online sein. In Gruppen können Teilnehmer Nachrichten anderer Mitglieder weiterreichen, sodass es genügt, wenn verschiedene Teile der Gruppe überschneidend online sind.