Comretix Blog

Notfall-Updates für iPhones, iPads und Macs: Apple beseitigt mit den neuen Versionen iOS 18.4.1, iPadOS 18.4.1 sowie macOS 15.4.1 Sequoia zwei schwere Sicherheitslücken in seinen Betriebssystemen. Nutzer sollten die Updates umgehend einspielen.

Die Schwachstellen ermöglichen Angreifer offenbar, gezielte und "extrem ausgeklügelte Angriffe" auf einzelne iPhone-Nutzer durchzuführen, wie der Hersteller unter Verweis auf einen Bericht vermerkt. Weitere Details zu diesen Angriffen wurden nicht genannt. Gewöhnlich handelt es sich hier um kommerzielle Spyware, die von staatlichen Stellen gegen Zielpersonen eingesetzt wird.

Die Patches liegen mit tvOS 18.4.1 auch für Apple-TV-Boxen und die Vision Pro (visionOS 2.4.1) vor. Für ältere Betriebssystemversionen von iOS, iPadOS und macOS und damit auch bestimmte ältere Hardware gibt es aktuell keine Updates. Ob diese noch folgen, bleibt offen. Für iPadOS 17 und iOS 16 auf bestimmten älteren iPhones und iPads stellte Apple zuletzt noch Sicherheits-Patches bereit. iOS 17 erhält offenbar keine weiteren Updates mehr: Alle iPhones, die iOS 17 unterstützen, können auch auf iOS 18 aktualisieren.

Eine Speicherverwaltungsschwachstelle in CoreAudio ermöglichte demnach die Ausführung von Code bei der Wiedergabe eines Audiostreams mithilfe einer manipulierten Mediendatei. Die Schwachstelle CVE-2025-31200 entdeckten offenbar Sicherheitsforscher von Apple und Google. Noch heikler erscheint die zweite Lücke, die es Angreifern mit Lese- und Schreibrechten ermöglichte, die in Apple-Chips integrierte Sicherheitstechnik Pointer Authentication Codes zu umgehen und so beliebigen Code auszuführen. Das Problem wurde beseitigt, indem der fehlerhafte Code entfernt wurde, schreibt Apple.

Neben den wichtigen Patches soll iOS 18.4.1 auch einen Bug auf iPhones ausräumen, der die Verbindungsaufnahme zu drahtlosen CarPlay-Infotainmentsystemen in bestimmten Fahrzeugmodellen störte. Laut Apple trat der Fehler nur selten auf.

Die Macher der anonymisierenden Linux-Distribution Tails haben als Notfallupdate die Version 6.14.2 veröffentlicht. Sie schließt Sicherheitslücken im Linux-Kernel und dem Perl-Interpreter.

In der Versionsankündigung erklären die Tails-Entwickler die Änderungen. Zum einen hievt Tails 6.14.2 den Kernel auf Version 6.1.133 – und der stopft gleich mehrere Sicherheitslücken, die Angreifer etwa zu Rechteausweitung oder den unbefugten Zugriff auf Informationen missbrauchen können. Die zugehörige Debian-Meldung enthält einen Schwung von 108 CVE-Einträgen, die mit der aktualisierten Fassung korrigiert werden.

Das könnte die Vertraulichkeit des anonymisierenden Linux unterwandern. Dies ist ebenfalls aufgrund einer weiteren Sicherheitslücke im Perl-Interpreter möglich. Darin können Angreifer einen Heap-basierten Pufferüberlauf ausnutzen, um die Software lahmzulegen oder potenziell sogar Schadcode einzuschleusen und auszuführen (CVE-2024-56406, derzeit keine konkrete Risikoeinschätzung verfügbar).

Andere Software-Bestandteile haben demnach keine signifikanten Neuerungen erfahren. Wer Tails nutzt, sollte umgehend auf die neue Fassung aktualisieren, um die Anonymisierungsfunktionen nicht zu gefährden. Es stehen wie üblich aktuelle Images für das Verfrachten auf USB-Sticks bereit und solche für DVDs oder die Nutzung in der VM.

Vor zwei Wochen haben die Tails-Entwickler Version 6.14.1 veröffentlicht. Während der Tests der 6.14-Fassung stießen sie auf Probleme, die sich korrigierten, und gingen dann gleich mit der erhöhten Versionsnummer nach draußen. In der Fassung haben sie etwa die Integration des Tor-Browsers und einige kleinere Fehler korrigiert. Durch den Schwenk auf AppArmor sind nun mehr Freiheiten ohne Einschränkung bei der Sicherheit vorhanden, etwa mehr Orte für das Speichern von Dateien.

Der Webbrowser Chrome ist in aktualisierter Version erschienen – und schließt damit eine als kritisch einsortierte Sicherheitslücke. Chrome-Nutzerinnen und -Nutzer sollten sicherstellen, dass die aktuelle Fassung bei ihnen läuft.

In einer Versionsankündigung umreißen Googles Entwickler die Schwachstellen sehr knapp, die die neue Fassung schließt. "Heap-basiertert Pufferübelauf in Codecs", deuten sie dort an, mit dem CVE-Eintrag CVE-2025-3619 und der Einstufung des Risiko als "kritisch". Ein konkreter CVSS-Wert fehlt, wie es bei Googles Chrome-Schwachstellenmeldungen üblich ist. Es gibt keine weiteren Details, aber es lässt sich herleiten, dass bereits das Verarbeiten manipulierter Multimediadateien wie Videos zur Kompromittierung des Geräts führen kann.

Bei der zweiten Lücke handelt es sich um eine Use-after-free-Schwachstelle im USB-Code von Chrome. Dabei greift der Programmcode fälschlicherweise auf Ressourcen zu, die zuvor bereits freigegeben wurden und deren Inhalt daher undefiniert ist. Oftmals kann das zum Einschleusen und Ausführen von Schadcode missbraucht werden – offenbar auch in diesem Fall, was die Risikoeinstufung als "hoch" für den CVE-Eintrag CVE-2025-3620 impliziert.

Die Browser-Versionen 135.0.7049.95/.96 für macOS und Windows, 135.0.7049.95 für Linux, 135.0.7049.100 für Android sowie die Extended-Stable-Fassung 134.0.6998.205 für macOS und Windows stellen den derzeit aktuellen Stand dar. Sie enthalten die Sicherheitslücken nicht mehr.

Der Klick auf das Icon mit den drei übereinandergestapelten Punkten rechts von der Adressleiste des Browsers öffnet das Chrome-Menü, Unter "Hilfe" – "Über Google Chrome" gelangt man zum Versionsdialog. Der zeigt die aktuell laufende Softwarefassung an. Sind Updates verfügbar, lädt der Dialog sie gleich herunter und installiert sie, um im Anschluss zum Browser-Neustart zur Aktivierung der fehlerkorrigierten Software aufzufordern. Unter Linux zeichnet in der Regel die Softwareverwaltung der eingesetzten Distribution für das Update verantwortlich.

Unter dem Eindruck einer drohenden CVE-Abschaltung haben sich in den Morgenstunden des 16. April verschiedene Initiativen und Organisationen bemüht, Alternativen an den Start zu bringen. CVE steht für Common Vulnerabilities and Exposures (Allgemeine Schwachstellen und Gefährdungen) und dient international zur Dokumentierung von Sicherheitslücken.

Die Bandbreite der Bemühungen ist dabei durchaus beeindruckend: Während sich die einen eher auf die organisatorische Überführung des CVE-Systems in eine Stiftung konzentrieren wollen, stellte die EU-Cybersicherheitsbehörde ENISA ihre seit vergangenem Jahr angekündigte Alternativlösung kurzerhand ins Web.

Bereits im Juni 2024 kündigte ENISA (European Network and Information Security Agency) an, sie arbeite im Einklang mit der NIS2-Richtlinie an einer eigenen Schwachstellendatenbank namens European Vulnerability Database. Anfang April war die Datenbank dann überraschend online – jedoch nur für wenige Stunden. Auf Nachfrage durch heise security antwortete eine ENISA-Sprecherin damals, es habe sich um einen Funktionstest während der Entwicklung gehandelt. Nach der MITRE-Ankündigung einer möglichen Stilllegung entschied man sich dann in Athen offenbar kurzerhand, Nägel mit Köpfen zu machen und die Gunst der Stunde zu nutzen.

Die US-Cybersicherheitsbehörde CISA hat derweil offenbar ein Optionsrecht ausgeübt und den auslaufenden Vertrag in letzter Sekunde verlängert. Das zumindest berichtet Metacurity auf Mastodon, unter Berufung auf ungenannte Sprecher bei MITRE und CISA. Die Verantwortlichen würden lediglich auf die Unterschrift warten; es gebe bald "gute Nachrichten". Wir werden diese Meldung aktualisieren, sobald diese guten Nachrichten tatsächlich eintreffen.

Bei MITRE im US-Bundesstaat Virginia wird es im Juni wegen der DOGE-bedingten Kürzungen über 400 Kündigungen geben, berichtete das lokale Nachrichtenportal Virginia Business. Zum 3. Juni 2025 sollen 442 Personen ihre Stelle verlieren, weil verschiedene US-Regierungsstellen ihre Verträge mit MITRE gekündigt hätten, so der Bericht weiter.

Das aktuelle Critical Patch Update von Oracle bedeutet viel Arbeit für Admins: Ganze 378 Updates sind zu installieren, die meisten davon schließen Lücken, die sich ohne Anmeldung und aus der Ferne ausnutzen lassen; 162 Patches tragen einen CVSS von 7.0 oder höher, 42 sogar ≥ 9.0 (kritisch). Betroffen sind Datenbanken, Middleware, Cloud-Dienste und Kommunikationsanwendungen, von denen einige für globale Finanzinstitute, Telekommunikationsanbieter und Cloud-native Plattformen von zentraler Bedeutung sind.

Einen kompletten Überblick liefert das Oracle Critical Patch Update Advisory - April 2025. Darin betont der Hersteller auch, dass Berichten über erfolgreiche Angriffe zufolge "die Angreifer erfolgreich waren, weil die betroffenen Kunden es versäumt hatten, die verfügbaren Oracle-Patches anzuwenden". Ob Oracle das auch auf sich selbst und die offenbar erfolgreich kompromittierten Cloud-Server bezieht, bleibt leider offen. Zu diesen Vorfällen beschränkt Oracle die Kommunikation weiterhin auf irreführendes Kleinreden; unsere Nachfragen sind nach wie vor unbeantwortet. Das nächste Oracle CPU steht dann am 15. Juli an.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der deutsche Smartphone-Hersteller Volla Systeme hat die Beta-Phase der Volla Messages App eröffnet und damit für viele Schlagzeilen gesorgt. Der Messenger sei eine WhatsApp- und Telegram-Alternative, aber sogar "Made in Germany". Viel Vorschusslorbeeren, die bei genauerer Betrachtung jedoch ziemlich deplatziert wirken.

Für eine erste Beta-Version wenig verwunderlich, bietet Volla Messages momentan nur Basisfeatures: Man könne "Textnachrichten senden sowie Links, Fotos und Dateien teilen – inklusive Download-Option", schreibt der Anbieter. Audio- und Videokonferenzen für Gruppen und Einzelkontakte seien in Planung. Volla Messages ist eine Peer-to-Peer-Anwendung (P2P): Geräte der Nutzer schließen sich zur "Volla Cloud" zusammen und leiten so Nachrichten weiter. Eine Registrierung oder Kontoerstellung soll nicht nötig sein und klassische Server wie bei zentral oder föderiert organisierten Messengern entfallen. Partner, die miteinander chatten wollen, müssen zuvor irgendwie anderweitig einen Kontaktcode austauschen, um einander zu finden.

Peer-to-Peer, verschlüsselt und angeblich sicher. Recht viel mehr erfährt man aber nicht, vermutlich kann WhatsApp noch gelassen auf diese Konkurrenz blicken.

(Bild: Volla Messages)

Um Verfügbarkeit sicherzustellen, verteilen derartige P2P-Systeme Daten oft auf diverse, nicht vertrauenswürdige Endgeräte. Sie müssen dann großen Aufwand treiben, um Datenintegrität und -sicherheit herzustellen sowie beispielsweise Betroffenenrechte nach der DSGVO zu garantieren. Volla umgeht diese Probleme, indem Daten ausschließlich zwischen Chatpartnern weitergegeben werden, wie das Unternehmen auf Nachfrage von heise online erklärt. Das bedeutet aber auch "dass ein Nachrichtenaustausch nur möglich ist, wenn mindestens ein weiterer Knoten im Netz verbunden ist." Chatpartner müssen bei Volla Messages also simultan online sein. In Gruppen können Teilnehmer Nachrichten anderer Mitglieder weiterreichen, sodass es genügt, wenn verschiedene Teile der Gruppe überschneidend online sind.

Die maximale Laufzeit von digitalen Zertifikaten für verschlüsselte Verbindungen zu Web- und anderen Servern wird sich künftig drastisch verkürzen. Im Jahre 2029 sind diese statt mit 398 Tagen nur noch mit 47 Tagen Laufzeit ausgestattet. Das hat das CA/Browser Forum per Abstimmung beschlossen und folgt damit einem Vorschlag von Apple.

Vor allem die Browserhersteller haben schon lange Bauchschmerzen bei den üblichen Laufzeiten für Serverzertifikate. Ihnen sind etwa fehlende Möglichkeiten der Löschung betrügerisch oder falsch ausgestellter Zertifikate ein Dorn im Auge, die vorhandenen Methoden (OCSP und CRLs) skalieren schlecht. Daher hatte sich Apple Ende 2024 mit dem Vorschlag vorgewagt und sich Unterstützung weiterer Mitglieder des CA/Browser Forums gesichert. Ein Vorstoß von Google aus dem Jahr 2023 war noch gescheitert.

Beim CA/Browser Forum (CA/B) ist der Name Programm: Browserhersteller und Certificate Authorities (CAs) wachen in dem Zusammenschluss über die ordnungsgemäße Ausstellung und Verarbeitung von Zertifikaten. In der Hauptsache befasst sich das CA/B mit der Web-PKI (also den Zertifikaten, die für das "s" in "https" sorgen), hat aber auch Arbeitsgruppen für S/MIME und andere eher browserferne PKI-Anwendungen. Das CA/B legt fest, welche Zertifikatsherausgeber von Browsern akzeptiert werden – CAs, die durch schlampige Überprüfung oder unsichere Vergabepraxis auffallen, fliegen raus.

Auch am Überprüfungsvorgang vor der Ausstellung oder Verlängerung der Zertifikate schraubt das CA/B. War es zuvor möglich, die notwendigen Identifikationen, also etwa automatisierte ACME-Challenges oder auch Firmendokumente, mehr als ein Jahr lang für erneute Ausstellungen oder Verlängerungen zu recyclen, verkürzt sich dieser Zeitraum schrittweise auf nur noch zehn Tage. Das bedeutet in der Praxis, dass Antragsteller für jedes neue Zertifikat alle relevanten Dokumente erneut bei der CA vorzeigen müssen. Wohl dem, der diesen Vorgang bis zum Jahr 2029 vollständig automatisiert hat.

Denn Webserver-Admins können vorerst aufatmen. Die verkürzte Laufzeit tritt nämlich nicht sofort in Kraft, sondern in einem jahrelangen Prozess mit mehreren Zwischenschritten:

Die Mutter aller Schwachstellendatenbanken, die Common Vulnerabilities and Exposures (CVEs) der MITRE Corporation, könnte in den nächsten Stunden offline gehen. Denn die US-Regierung verlängert die Finanzierung nicht. CVE ist elementar für Kooperation im Bereich IT-Sicherheit. Dank CVE erhalten gemeldete Sicherheitslücken eine eindeutige Nummer, anhand der alle Beteiligten sicherstellen können, dass sie vom selben Problem sprechen.

In einem kurzen, internen Schreiben warnt MITRE vor einem "Zerfall" der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) samt der zugehörigen Warnungen und Ratschläge. Ebenso betroffen wären Sicherheitsprodukte aller Provenienz, Maßnahmen zur Abwehr von IT-Angriffen und schließlich alle Arten Kritischer Infrastruktur. Die NVD baut auf CVE auf und reichert diese mit detaillierten Bedrohungsinformationen, Hinweisen zu verfügbaren Updates und sonstigen Handlungsempfehlungen an. IT-Sicherheitsverantwortliche, aber beispielsweise auch Journalisten wie wir von heise security, nutzen die NVD zum Nachschlagen aktueller Bedrohungsdetails.

Erst im Vorjahr haben sich die US-Bundesbehörden NIST und CISA (Cybersecurity and Infrastructure Security Agency) daran gemacht, die NVD zu verbessern. Ohne CVE liefe das aber ins Leere.

MITRE will nicht einfach die Server löschen, sondern versichert, dem Projekt verbunden zu sein. Die Regierung unternehme "erhebliche Anstrengungen", um MITREs Rolle zu sichern. CISA hat das Auslaufen der Finanzierung bestätigt und teilt mit, "dringlich daran zu arbeiten, die Auswirkungen zu milden und CVE zu erhalten". Allerdings ist CISA selbst von erheblichen Kürzungen und Chaos dank Elon Musks DOGE betroffen.

Offen bleibt, wie es konkret weitergeht. Eine Liste der bisher zugeteilten CVE-Nummern steht bis auf Weiteres bei Github online. Solange MITRE die eigentlichen CVE-Server noch laufen lässt, dürften bereits akkreditierte Einrichtungen (CVE Numbering Authorities) weiter in der Lage sein, sich automatisiert CVE-Nummern zu lösen. Von Dritten gemeldete Sicherheitslücken wird MITRE ab Donnerstag aber wohl nicht mehr in die Liste aufnehmen.

Microsoft deaktiviert die Unterstützung für ActiveX in seinem Office-Paket Microsoft 365. Noch im April werden die Windows-Versionen Microsoft Words, Excels, PowerPoints und Visios ActiveX standardmäßig nicht mehr ausführen und die Nutzer auch nicht mehr darauf hinweisen. Das soll das Sicherheitsniveau der Software heben.

ActiveX gilt mindestens seit 2003 als inhärent unsicher. "Die Security-Advisories von Symantec und Trend Micro zeigen: So etwas wie ein 'sicheres ActiveX-Control' gibt es nicht", schrieb Heise-Security-Leiter Jürgen Schmidt damals in seinem Kommentar. Denn: "Wenn Sie ein ActiveX-Control auf Ihrem Rechner installieren, ist das genauso sicher oder unsicher wie ein normales Programm: Wenn der Entwickler in das Control reinschreibt: 'Lösche alle Dateien auf diesem System', dann löscht es alle Dateien, auf die der Nutzer, der es gestartet hat, Zugriff hat."

In den letzten zweieinhalb Jahrzehnten hat Microsoft wiederholt am ActiveX-System gebastelt und beispielsweise das Deaktivieren einzelner ActiveX-Module im Internet Explorer, er Ruhe in Frieden, ermöglicht. Am Ende hat sich ActiveX immer wieder als Einfallstor für Malware und IT-Angreifer erwiesen.

In Office 2024 hat Microsoft die ActiveX-Unterstützung bereits zum Release im Oktober standardmäßig abgeschaltet, jetzt sind die obgenannten Microsoft-365-Anwendungen dran (ab Version 2504 respektive Build 18730.20030). Im Beta-Channel ist die Abschaltung bereits erfolgt, wie ein Blogpost Microsofts informiert. Manche ActiveX-Objekte werden demnach als statisches Bild sichtbar bleiben, Interaktion damit wird jedoch nicht mehr möglich sein.

Ganz Schluss ist mit ActiveX aber dann doch nicht. Wer gerne riskant lebt, kann in den Einstellungen des Trust Center festlegen, dass er doch wieder die Möglichkeit erhält, einzelne AcxtiveX-Objekte manuell zu reaktivieren. Gibt es einen Gruppenadmin, kann der das jedoch verhindern, oder ebenfalls für alle seine Schäfchen freigeben.

Am Montag berichtete der NDR anlässlich der Veröffentlichung der Kriminalstatistik für das Jahr 2024 des Landeskriminalamts Schleswig-Holsteins von einem IT-Unternehmen aus Lübeck, das im vergangenen Jahr eine Ransomware-Attacke erlebt hat. Die Darstellung führte zu Kopfschütteln in der IT-Szene. So äußerte fefe in seinem Blog Unverständnis über die Darstellung des NDR. Mehrere Sicherheitsprobleme und Datenlecks bei dem Unternehmen bestehen weiterhin, ergaben Untersuchungen am Montagabend.

Das Unternehmen Melting Mind hat demnach im April 2024 E-Mail vom BSI erhalten, wonach es "in der jüngeren Vergangenheit auch in unserem Hause zu einem Abfluss von Daten gekommen sein könnte" – so steht es auch noch jetzt nachlesbar auf der Webseite des Unternehmens.

Melting Mind hat im April 2024 ein Datenleck eingeräumt.

(Bild: Screenshot / dmk)

Im Darknet hat die Gruppe APT73 einen Einbruch auf den Servern gemeldet und den Verkauf der Daten angedroht. Der Inhaber des Unternehmens berichtet im NDR, dass eine Lösegeldforderung in Höhe von 50.000 Euro in Bitcoin im Raum stand. Er habe mit den Erpressern eine Ratenzahlung ausgehandelt, 3000 Euro gezahlt und dann seine Kunden informiert, dass diese ihre Daten sichern sollten. Der Bericht geht nicht darauf ein, dass am Ende also das Geld und die Kundendaten futsch waren.

Im vergangenen Jahr hatte Microsoft Probleme mit Windows-Updates, die mit dem Fehlercode 0x80070643 nicht installiert werden konnten. Automatische Lösungsversuche hat das Unternehmen inzwischen aufgegeben. Nun taucht der Fehlercode erneut auf, dieses Mal betrifft er die April-Sicherheitspatches für Windows 10.

Darauf weist Microsoft in den Windows-Release-Health-Notizen hin. "Nach der Installation des Windows-Recovery-Environment-Updates aus dem April (KB5057589) könnten Sie folgende Fehlermeldung auf der Windows-Update-Einstellungsseite zu sehen bekommen: 0x80070643 – ERROR_INSTALL_FAILURE". Diese Fehlermeldung sei jedoch nicht korrekt und sie habe keinen Einfluss auf das Update oder die Geräte-Funktionen, versichert Microsoft dort weiter.

Die Windows-Recovery-Environment (WinRE) ist eine Reparaturumgebung, die übliche Gründe für nicht startende Betriebssysteme ausbessern kann. Der Fehler tritt dann auf, wenn das Gerät das WinRE-Update installiert, wenn ein anderes Update das System für einen ausstehenden Reboot markiert hat. Auch, wenn die Fehlermeldung nahelege, dass das Update nicht vollständig angewandt wurde, wird es typischerweise erfolgreich installiert, sofern das Gerät neu startet, erklärt Microsoft weiter.

Windows Update könne das Update weiterhin als fehlgeschlagen anzeigen, bis zum nächsten täglichen Scan, an dem es nicht länger angeboten und die Fehlermeldung automatisch gelöscht wird. Dennoch schreibt Microsoft, dass die Entwickler an einer Lösung arbeiten. Betroffen sind demnach Windows 10 22H2 und 21H2 sowie Windows Server 2022.

Nachdem derartige Fehler im vergangenen Jahr aufgetreten sind und die Lösungsversuche oftmals fehlschlugen, hatte Microsoft offiziell die Suche nach automatischen Lösungen für das Problem aufgegeben. Es blieben jedoch die manuellen Versuche, mit denen sich Betroffene behelfen konnten.

Fortinet berichtet über eine aktuelle Variante, mit der sich Angreifer in Firewalls des Herstellers einnisten und Persistenz erreichen. IT-Forscher haben derweil mehr als 14.000 kompromittierte Fortinet-Firewalls weltweit aufgespürt.

In einem Blog-Beitrag erörtert Fortinet, dass Angreifer bekannte Sicherheitslücken in der VPN-Komponente der Fortinet-Firewalls zum Einsteigen in die Netzwerke missbraucht haben. Die konkret untersuchten Fälle betrafen Sicherheitslücken in FortiOS SSL-VPN (CVE-2022-42475, CVSS 9.3, Risiko "kritisch"), FortiOS und FortiProxy SSL-VPN (CVE-2023-27997, CVSS 9.2, Risiko "kritisch") sowie im sslvpnd von FortiOS und FortiProxy (CVE-2024-21762, CVSS 9.6, Risiko "kritisch").

Solche Angriffe sind nicht ungewöhnlich. Was für die Fortinet-Analysten neu war, ist, wie sich die Angreifer eingenistet haben. Sie haben auf erfolgreich attackierten FortiGate-Geräten einen Symlink (symbolic link) zwischen dem User-Dateisystem und dem root-Dateisystem in einen Ordner für Sprachdateien des SSL-VPNs erstellt. Der Symlink wurde im User-Dateisystem erstellt und versuchte so, der Entdeckung zu entgehen. Selbst nach dem Anwenden von Aktualisierungen zum Schließen der angegriffenen Schwachstelle konnte der Symlink erhalten bleiben und den Angreifern lesenden Zugriff auf das Dateisystem – einschließlich der Konfiguration – ermöglichen. Wenn das SSL-VPN nie aktiviert war, ist dieser Angriff jedoch nicht möglich, erklärt Fortinet.

Fortinet hat eine Signatur erstellt, die diese Symlinks entfernen soll, außerdem soll auch die SSL-VPN-Software angepasst worden sein, sie auszufiltern. Kunden, die als davon betroffen erkannt wurden, hat Fortinet zudem darüber informiert. Die Aktualisierung auf FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 sowie 6.4.16 korrigiert das Problem auf jeweils angepasste Weise. Zudem sollen IT-Verantwortliche die Konfiguration der Geräte überprüfen.

Auf X hat die Shadowserver Foundation zudem tausende aktuell kompromittierte Fortinet-Geräte gemeldet. Die meisten betroffenen Maschinen stehen in den USA (1.500), Deutschland war am vergangenen Freitag mit 233 unterwanderten Fortinet-Geräten auf Platz 18 der Liste zu finden. Am Montag waren rund 14.600 Fortinet-Systeme weltweit kompromittiert, zeigt die aktuelle Statistik von Shadowserver.

Die EU-Kommission hat einige Angestellte für Besuche in den USA mit Wegwerfhandys und einfachen Laptops ausgestattet, um das Spionagerisiko zu minimieren. Das berichtet zumindest die Financial Times unter Berufung auf mehrere eingeweihte Personen und erklärt, dass derartige Maßnahmen bislang eigentlich nur für Reisen nach China oder in die Ukraine vorgesehen sind, wo die Gefahr russischer beziehungsweise chinesischer Spionage besteht. Die Kommission selbst hat dem Bericht zufolge bestätigt, dass die Sicherheitshinweise für die USA angepasst wurden, aber gleichzeitig versichert, dass es keine offizielle Anweisung zur Nutzung von Wegwerfhandys gebe. Dass solche Geräte ausgegeben wurden, sei aber nicht dementiert worden.

In Brüssel sei man besorgt, dass die USA "in Systeme der Kommission eindringt", zitiert die britische Zeitung einen anonymen EU-Angestellten. Das unterstreicht, wie massiv sich die Beziehungen zwischen der Europäischen Union und den USA seit Amtsantritt von Donald Trump verschlechtert habe. Der US-Präsident wirft Europa unfaire Handelspraktiken vor und hat die Zölle auf Waren aus dem Staatenbund vorübergehend erhöht. "Die transatlantische Allianz ist beendet", habe gar ein EU-Angestellter gesagt, der ebenfalls nicht namentlich genannt werden will. Gleichzeitig erinnert die Zeitung aber daran, dass vor Jahren der Vorwurf für Verstimmung gesorgt hat, dass US-Geheimdienste die damalige deutsche Bundeskanzlerin Angela Merkel ausspioniert haben.

Die neuen Sicherheitshinweise für Reisen in die USA kommen jetzt nur wenige Tage vor den Flügen von zwei EU-Kommissaren und einer EU-Kommissarin über den Atlantik, schreibt die Zeitung noch. Valdis Dombrovskis, Maria Luís Albuquerque und Jozef Síkela wollen an Treffen des Internationalen Währungsfonds und der Weltbank teilnehmen. Zwar dürfte deren Einreise unproblematisch verlaufen, aber für weniger hochrangige Personen könnte das anders sein. Die Financial Times verweist noch darauf, dass Grenzbeamte und -beamtinnen der USA das Recht haben, Elektronik von Einreisenden zu konfiszieren und zu durchsuchen. Einigen sei danach die Einreise verweigert worden, weil darauf Kritik an Donald Trump gefunden wurde.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die steigende Zahl komplexer Cyberangriffe, zunehmende geopolitische Spannungen und die Abhängigkeit von wenigen Technologieanbietern gefährden die Sicherheit und Beständigkeit digitaler Infrastrukturen in der öffentlichen Verwaltung. Zu diesem Schluss kommen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS).

In einem gemeinsamen Strategiepapier schlagen BSI und ZenDiS Gegenmaßnahmen vor, mit denen ein höheres Sicherheitsniveau für Softwareprodukte erreicht werden soll. Open Source sieht man dabei als Grundlage für die digitale Souveränität.

Die unter anderem vom BSI ins Leben gerufene Plattform openCode ist zentraler Baustein des neuen Sicherheitskonzeptes. Sie soll durch verbindliche Sicherheitsstandards und standardisierte Prüfverfahren die kritischen Schwachstellen in der Softwarelieferkette automatisiert aufdecken. Gleichzeitig will man mit openCode Abhängigkeiten transparent machen und nachvollziehbare Herkunftsnachweise für kritische Softwarekomponenten schaffen. Beides ist für einzelne Anbieter oder Organisationen bislang kaum umsetzbar. Technisch betreibt openCode dafür eine eigene GitLab-Instanz und stellt Container-Images zur Verfügung.

Durch openCode soll Open-Source-Software zu einem Schlüsselelement einer resilienten digitalen Infrastruktur in Deutschland heranwachsen und es Sicherheitsorganisationen ermöglichen, präventiv statt nur reaktiv auf Bedrohungen zu antworten. Vorfälle wie der SolarWinds-Cyberangriff, der 2020 die Systeme zahlreicher Regierungsbehörden und Unternehmen kompromittierte, sollen sich damit nicht mehr wiederholen können.

Zur Umsetzung auf der Basis von openCode schlagen BSI und ZenDis folgende Schritte vor, mit denen noch dieses Jahr begonnen werden soll: Schaffung eines sicheren Systems zur Softwareprüfung und -herstellung mit Verifikationsprozess, souveräne Container-Registry mit einheitlichen Standards, resiliente Verteil-Infrastruktur für Software sowie gemeinsame Qualitätskriterien und Prüfstandards. Läuft alles nach Plan, soll die Plattform 2026 startklar sein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt das dräuende Support-Ende von Windows 10 in genau sechs Monaten, am 14. Oktober 2025, zum Anlass, Tipps für die Zeit danach zu geben. Allen, die noch Windows 10 nutzen, empfiehlt das BSI, rechtzeitig ein Upgrade durchzuführen oder auf ein anderes Betriebssystem umzusteigen.

Die oberste IT-Sicherheitsbehörde des Landes führt an, dass ab dem Zeitpunkt das Betriebssystem keine kostenlosen Updates mehr erhält. Insbesondere "auch solche nicht, die sicherheitsrelevant sind und zum Beispiel Schwachstellen schließen". Das betrifft alle Windows-10-Versionen, einschließlich Home, Pro oder Education. Upgrade oder Umstieg könne auf "etwa Windows 11, ein Unix-basiertes Betriebssystem wie macOS oder ein Linux-basiertes Betriebssystem" erfolgen – wobei die wohl etwas sportliche Variante, macOS auf nicht-Mac-Hardware zu installieren, von den Beamten nicht näher beschrieben wird. Einen offiziellen Weg gibt es dafür nicht.

Eine Sprecherin des BSI erklärte demnach: "Sicherheitsupdates sind für die IT-Sicherheit essentiell, weil dadurch Sicherheitslücken geschlossen werden, die sonst von Angreifenden ausgenutzt werden könnten. Die weitere Nutzung von Windows 10 nach Ende des Supportzeitraums birgt daher gravierende Sicherheitsrisiken."

Die IT-Sicherheitsbehörde empfiehlt daher, die kommenden sechs Monate für den Wechsel des Betriebssystems zu nutzen, auf ein System, das weiterhin vollumfänglich Sicherheitsupdates erhält. Das BSI empfiehlt eine Datensicherung vor dem Wechsel, um einem Datenverlust bei dem Vorgang vorzubeugen. "Um im Herbst nicht unter Zeitdruck zu geraten, sollten Verbraucherinnen und Verbraucher das Upgrade oder den Wechsel des Betriebssystems auf den betroffenen Geräten frühzeitig einleiten", schließt das BSI seine Empfehlung ab.

Für Aufregung sorgte in der vergangenen Woche ein Artikel von Microsoft, der zum Recyclen alter Geräte zum Support-Ende von Windows 10 rät. Das haben viele so aufgefasst, als würde Microsoft empfehlen, alte, nicht mit Windows 11 kompatible Geräte in den Müll zu werfen. Der Artikel war eher als Werbung für den Hardware-Neukauf und dazu passende Bonus- und Eintausch-Programme in Microsofts Store gedacht und irritierte mit Formulierungen zu "verantwortungsvollem Recycling" alter Hardware. Beim Kauf neuer Surface-Geräte von Microsoft ist in manchen Ländern und US-Bundesstaaten eine Vergünstigung oder ein Geld-gegen-Altgeräte-Programm verfügbar.

In dem Wordpress-Plug-in SureTriggers wurde vor dem Wochenende eine Sicherheitslücke bekannt. Das Plug-in ist auf mehr als 100.000 Wordpress-Instanzen installiert. Angreifer missbrauchen die Schwachstelle jetzt bereits aktiv.

Die IT-Forscher von Patchstack haben bereits kurz nach Bekanntwerden der Schwachstelle in dem Wordpress-Plug-in am vergangenen Freitag Angriffe darauf entdeckt. Am Freitag hatte das IT-Sicherheitsunternehmen Wordfence Details zur Sicherheitslücke in SureTriggers veröffentlicht. Demnach können Angreifer aus dem Netz ohne vorherige Authentifizierung administrative Nutzerkonten erstellen. Sofern kein API-Key in dem SureTriggers-Plug-in eingerichtet ist, können Angreifer dadurch Administrator-Nutzer hinzufügen und damit Wordpress-Instanzen vollständig kompromittieren (CVE-2025-3102, CVSS 8.1. Risiko "hoch").

Nur wenige Stunden nach der Veröffentlichung hat Patchstack Angriffe beobachtet. Die Schwachstelle stellt also ein signifikantes Risiko für Wordpress-User dar, die das Problem nicht mit einem Update oder anderen Gegenmaßnahmen gelöst haben.

Bei den Angriffen haben die IT-Forscher bislang vier Ursprungsadressen ausgemacht. Diese haben die URLs und REST-API-Endpunkte "/?rest_route=/wp-json/sure-triggers/v1/automation/action" sowie "/wp-json/sure-triggers/v1/automation/action" attackiert. Damit haben sie neue administrative Konten angelegt. Die Kontennamen sind zufällig zusammengewürfelt. Sie scheinen bei jedem Angriff individuell neu gewählt zu werden.

Zum Schließen des Sicherheitslecks haben die Entwickler des SureTrigger-Plug-ins Version 1.0.79 veröffentlicht. Wer das Plug-in eingesetzt hat, sollte sicherstellen, dass die aktuelle Fassung bereits aktiv ist. Gegebenenfalls sollten Plug-in-Nutzerinnen und -Nutzer ebenfalls überprüfen, ob neue oder unbekannte Konten in ihrer Wordpress-Instanz existieren.

Cyberkriminelle sind bei einem Dienstleister von Samsung eingebrochen und haben dort die Support-Datenbank mit Kundendaten kopiert. 270.000 Datensätze sollen so in die Hände von Unbefugten geraten sein, die sie im Darknet zum Kauf feilgeboten haben. Nun konnte Troy Hunt, der das Have-I-Been-Pwned-Projekt betreibt, eine Kopie erhalten und hat sie dem durchsuchbaren Datenfundus hinzugefügt.

In der Ankündigung in der stetig wachsenden Leck-Auflistung von Havbe-I-Been-Pwned (HIBP) schreibt Hunt, dass es sich tatsächlich um rund 216.000 einzelne E-Mail-Adressen zusammen mit Namen, Anschrift, getätigten Käufen, Anreden, Sendungsverfolgungsnummern sowie Support-Tickets handele. Mit den Daten scheint kein direkter Identitätsklau möglich zu sein, aber professioneller aufgemachtes, überzeugenderes Phishing können Kriminelle mit diesen Daten schon aufsetzen. Es steckt schließlich die Zusatzinformation drinnen, dass es sich um Samsung-Kunden handelt, die zudem mal Probleme mit einem Gerät und dafür gegebenenfalls Pakete versendet hatten.

Vor genau zwei Wochen wurde bekannt, dass Daten bei einem Dienstleister von Samsung entwendet werden konnten und in einem digitalen Untergrund-Forum zum Verkauf angeboten wurden. Die Daten wurden beim Dienstleister Spectos kopiert. Anfänglich behauptete eine für gewöhnlich gut informierte Firma namens Hudson Rock, dass die Täter durch veraltete Zugangsdaten Zugang zu den Systemen erlangt haben.

Dem stellt Spectos eine eigene Analyse der Vorgänge entgegen. Die Angreifer sind nicht durch jahrelang nicht geänderte Zugangsdaten eingedrungen, sondern haben für den initialen Zugang eine Schwachstelle "in einem sekundären Server" missbraucht. Dadurch gelang ihnen der Zugriff auf "verschiedene Bereiche der Cloud-Infrastruktur"; ein Zugang zu den Hauptsystemen sei verhindert worden.

Wer in jüngerer Vergangenheit einen Support-Fall bei Samsung eröffnet hat, kann durch die Eingabe der eigenen E-Mail-Adresse auf der HIBP-Webseite prüfen, ob die eigenen Daten von dem Vorfall betroffen sind. Ein anekdotischer Test mit Daten aus einem Support-Fall von vor etwas länger als einem Jahr lieferte jedoch kein Ergebnis im aktuellen Datenleck zurück.