Comretix Blog

Angreifer können an zwei Sicherheitslücken in Adobe Experience Manager ansetzen, um Systeme zu attackieren. Die Schwachstellen sind seit April dieses Jahres bekannt, Sicherheitspatches gibt es aber erst jetzt.

Wie Sicherheitsforscher von Searchlight Cyber in einem Bericht festhalten, haben sie Adobe im April 2025 über drei Sicherheitslücken (CVE-2025-49533 "kritisch", CVE-2025-54254 "hoch", CVE-2025-54253 "kritisch") informiert. Die letztgenannte Schwachstelle ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sind Attacken erfolgreich, können Angreifer Systeme durch das Ausführen von Schadcode vollständig kompromittieren.

Den Forschern zufolge gestaltete sich die Kommunikation als äußerst zäh, und Adobe hat teilweise in Antworten Patches für ganz andere Lücken erwähnt. Am Patchday im Juli hat Adobe dann zumindest eine Lücke (CVE-202549533) geschlossen. Ebenso führen die Forscher in ihrem Bericht technische Details zu den Lücken aus.

Nach weiteren gescheiterten Kommunikationsversuchen zum Verbleib der restlichen Sicherheitsupdates haben sich die Sicherheitsforscher gemäß dem 90-tägigen Responsible-Disclosure-Verfahren dazu entschieden, Details zu den beiden ungepatchten Lücken zu veröffentlichen. Sie haben unter anderem herausgefunden, dass der DevMode in der Apache-Struts-Komponente standardmäßig aktiv war. Das können Angreifer zur Schadcodeausführung aus der Ferne missbrauchen.

Nun hat Adobe das Notfallupdate Experience Manager Forms on JEE 6.5.0-0108 veröffentlicht, um die beiden verbleibenden Schwachstellen zu schließen. Auch wenn es Adobe zufolge noch keine Attacken gibt, sollten Admins ihre PCs zügig absichern. Schließlich ist dem Softwarehersteller zufolge Proof-of-Concept-Code in Umlauf, was zu baldigen Attacken führen kann.

Die Containerplattform Docker warnt vor Sicherheitsrisiken, die sich durch die Nutzung von MCP-Quellen ergeben und Angreifern leichten Zugriff auf Dateien, Datenbanken, Netzwerk und Secrets eröffnen. Außerdem können die Täter weitreichend Befehle absetzen und schädlichen Code einschleusen.

Der Blogbeitrag kritisiert das von Anthropic letztes Jahr eingeführte und inzwischen weitverbreitete Model Context Protokol (MCP) als auf Komfort und nicht auf Sicherheit angelegt. "Es ist zu einem Sicherheitsalptraum geworden, der Unternehmen dem Risiko von Datenverlust, Kompromittierung der Systeme und Angriffen auf die Lieferkette aussetzt." Dabei betont der Text, dass diese Annahmen nicht auf Spekulation beruhen, sondern auf der "Analyse tausender MCP-Server, die systematische Schwachstellen in sechs kritischen Angriffsvektoren aufgedeckt hat". Als Schutz empfiehlt Docker unter anderem den hauseigenen Katalog gehärteter MCP-Images.

Tatsächlich untermauert der Blogeintrag seine Annahmen mit vielen Hinweisen auf Studien von Sicherheitsfirmen, die MCP untersucht haben. Als erstes Problem nennt Docker schadhafte OAuth-Prozesse, die bösartigen Code in Clients einschleusen können. Laut der zitierten Studie sind 43 Prozent der analysierten Server davon betroffen. Ein Beispiel war ein inzwischen behobenes Problem im viel genutzten Paket mcp-remote, mit dem sich Clients bei entfernten MCP-Servern anmelden können.

Als weitere Probleme nennt Docker das Einschleusen und Ausführen von Befehlen, uneingeschränkter Netzzugriff, Zugriff auf das Dateisystem, den Missbrauch von Tools sowie das Aufdecken von Secrets. Diese finden sich unter Umständen in unsauber implementierten Umgebungsvariablen, Logfiles oder Prozesslisten.

Anwenderinnen und Anwender sollten MCP-Quellen immer genau prüfen und auch im Betrieb überwachen, welche Rechte sie einfordern und auf welche Ressourcen sie zugreifen. Bei offenen Quellen lässt sich beispielsweise nach Stichwörtern wie eval() oder exec() suchen. Die Server sollten ferner keine Credentials als Umgebungsvariablen benötigen.

Derzeit haben Angreifer zwei "kritische" Schwachstellen in Trend Micro Apex One Management Console (On-Premise) unter Windows im Visier. Ein vorläufiges Sicherheitsupdate ist verfügbar, das aber Einschränkungen mit sich bringt. Der Anbieter von IT-Sicherheitssoftware gibt an, dass sie bereits Angriffsversuche dokumentiert haben.

Konkret bedroht ist den Entwicklern zufolge Trend Micro Apex One (On-Premise) 2019 bis einschließlich Management Server Version 14039. In einer Warnmeldung versichern sie, dass die On-Premise-Version mit dem Patch FixTool_Aug2025 gegen die Attacken gerüstet ist.

Dabei handelt es sich ihnen zufolge aber um ein vorläufiges Update, das Systeme zwar schützt, aber eine Einschränkung mit sich bringt: So können Admins nach der Installation die Funktion "Remote Install Agent" zur Bereitstellung von Agenten über die Trend Micro Apex One Management-Konsole nicht mehr nutzen. Trend Micro versichert, dass der vollständige Patch ohne Einschränkungen Mitte August erscheinen soll.

In welchem Umfang die Angriffe ablaufen und woran Admins bereits attackierte Systeme erkennen können, ist bislang unklar. Die As-a-Service-Ausgabe der Schutzsoftware ist den Entwicklern zufolge seit Ende Juli abgesichert.

Den Beschreibungen der beiden Sicherheitslücken (CVE-2025-54948, CVE-2025-54987) zufolge können Attacken aus der Ferne erfolgen. Dafür müssen Angreifer aber "pre-authenticated" sein, schreiben die Entwickler. Ist das gegeben, können sie eigenen Code hochladen und ausführen. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Systeme im Anschluss vollständig kompromittiert sind.

Vorsicht vor Phishingmails: Wer Add-ons für Firefox entwickelt, sollte derzeit aus Sicherheitsgründen bei E-Mails in diesem Kontext lieber zweimal hinschauen. Derzeit sind nämlich gefälschte Mails im Umlauf, über die Angreifer persönliche Daten abfischen wollen.

Davor warnt Mozilla in einem Beitrag. Sie geben an, dass Kriminelle unter dem Deckmantel von addons.mozilla.org (AMO) E-Mails verschicken. In den Mails heißt es unter anderem, dass Accounts eine Aktualisierung benötigen, um alle Entwicklerfeatures nutzen zu können. Das stimmt natürlich nicht.

Es ist davon auszugehen, dass Kriminelle über diese Masche an persönliche Daten wie Passwörter kommen wollen. Wer so eine Nachricht bekommt, sollte sich den Absender ganz genau anschauen. Kommt die Mail nicht von einer Mozilla-Domain wie firefox.com, mozilla.org oder mozilla.com liegt ein Fake nahe. Unter keinen Umständen sollte man auf Links in solchen Mails klicken und persönliche Daten auf Phishing-Websites eingeben.

In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Das IT-Unternehmen Sonicwall untersucht derzeit mögliche Attacken auf seine Firewalls der Gen-7-Serie. Davor warnen mehrere Sicherheitsforscher unabhängig voneinander. Auch intern wurden eigenen Angaben zufolge Unregelmäßigkeiten dokumentiert. Möglicherweise nutzen Angreifer derzeit eine Zero-Day-Sicherheitslücke aus. Dabei handelt es sich um eine Schwachstelle, für die es noch kein Sicherheitsupdate gibt.

Nun nimmt Sonicwall zu den Berichten der Sicherheitsforscher von unter anderem Huntress Stellung. Bei den möglichen Attacken sollen Angreifer Gen-7-Firewalls mit aktivierter SSL-VPN-Funktion im Visier haben.

Die Sicherheitsforscher von Huntress geben in ihrem Bericht an, dass Angreifer durch das Ausnutzen einer Zero-Day-Lücke die Multi-Faktor-Authentifizierung (MFA) umgehen und so Ransomware auf Systeme schieben. Sie berichten, dass Angreifer nach erfolgreichen Attacken Domänencontroller übernehmen. Die Forscher empfehlen, den VPN-Service, der offensichtlich das Einfallstor ist, zu deaktivieren oder ihn nur für bestimmte IP-Adressen zugänglich zu machen.

Auch wenn derzeit noch vieles unklar ist und Sonicwall davon noch nichts konkret bestätigt hat, empfiehlt auch das IT-Unternehmen den VPN-Service temporär zu deaktivieren oder Zugriff streng zu filtern. Außerdem sollten Kunden die Sicherheitsfeatures Botnet Protection, MFA und Geo-IP Filtering aktivieren. Zusätzlich sollten Admins ihnen unbekannte Accounts umgehend entfernen.

Sonicwall erläutert, mit den Sicherheitsforschern zusammenzuarbeiten und neue Erkenntnisse umgehend mit Kunden zu teilen. Außerdem versichern sie, im Falle einer Sicherheitslücke umgehend ein Update auszuliefern. Derzeit dauern die Untersuchungen noch an.

Wer ein im Support befindliches Androidgerät besitzt, sollte sicherstellen, dass die aktuellen Sicherheitsupdates installiert sind. Andernfalls haben Angreifer mehrere Ansatzpunkte, um Attacken einzuleiten.

In einer aktuellen Warnmeldung listet Google die mit den Patch Levels 2015-08-01 und 2025-08-05 geschlossenen Sicherheitslücken auf. Am gefährlichsten gilt eine als "kritisch" eingestufte Schwachstelle (CVE-2025-48530) im System, die ausschließlich Android 16 betrifft.

An dieser Stelle schreiben die Entwickler, dass Angreifer ohne zusätzliche Nutzerrechte an der Lücke ansetzen können. Für eine erfolgreiche Attacke sei keine Interaktion seitens eines Opfers notwendig. Zur Ausführung von Schadcode aus der Ferne kann es der Beschreibung zufolge aber nur in der Kombination mit anderen Bugs kommen. Was das genau bedeutet und wie so ein Angriff ablaufen könnte, ist bislang unklar.

Setzen Angreifer an zwei Schwachstellen (CVE-2025-23331 "hoch", CVE-2025-48533 "hoch") im Framework an, können sie sich höhere Nutzerrechte verschaffen. Weitere Sicherheitslücken betreffen verschiedene Komponenten von Arm und Qualcomm. Hier sind Attacken im Kontext der Mali-GPU und des Displays vorstellbar. Welche Auswirkungen solche Angriffe haben können, geht derzeit nicht aus der Warnmeldung hervor.

Googles Entwickler geben an, dass der Sourcecode der Sicherheitspatches im Android Open Source Project (AOSP) zur Verfügung steht. Leider profitieren von den Updates nur ausgewählte Geräte, die sich zudem noch im Support befinden müssen. Neben Google veröffentlichen unter anderem noch LG und Samsung monatlich Sicherheitspatches. Weitere Informationen dazu finden sich im Kasten neben dieser Meldung.

Angreifer können Systeme mit Nvidia Triton Inference Server attackieren und im schlimmsten Fall vollständig kompromittieren. Davon sind Linux- und Windows-PCs bedroht. In den aktuellen Versionen haben die Entwickler insgesamt 17 Softwareschwachstellen geschlossen. Bislang gibt es keine Berichte zu laufenden Attacken. Admins sollten aber nicht zu lange mit dem Absichern ihrer Systeme warten.

Nvidias Triton Inference Server stellt KI-Modelle wie PyTorch und TensorFlow bereit, damit Nutzer Aufgaben wie Bildgenerierung oder Sprachübersetzung nutzen können.

Wie aus einer Warnmeldung hervorgeht, sind drei Sicherheitslücken (CVE-2025-23310, CVE-2025-23311, CVE-2025-23317) mit dem Bedrohungsgrad "kritisch" eingestuft. An diesen Stellen können Angreifer unter anderem mit präparierten HTTP-Anfragen ansetzen, um so einen Speicherfehler auszulösen. Das führt in der Regel zu Abstürzen, oft gelangt in so einem Fall aber auch Schadcode auf den Computer.

In einem Beitrag warnen Sicherheitsforscher von Wiz, dass Angreifer drei Lücken kombinieren können (CVE-2025-23319 "hoch", CVE-2025-23320 "hoch", CVE-2025-23334 "mittel"). Klappen die Attacken, greifen Angreifer zuerst auf Speicherbereiche zu, die eigentlich abgeschottet sein sollen. Dann verschaffen sie sich Zugriff auf einen Schlüssel und eignen sich Schreib- und Leserechte für einen Server an. Im letzten Schritt führen sie dann Schadcode aus.

Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben Triton Inference Server 25.05, 25.06 und 25.07 gelöst zu haben.

Angreifer können IBM Operational Decision Manager (ODM) über verschiedene Wege attackieren. In einem Fall können Systeme abstürzen. Angreifer können aber auch vertrauliche Informationen einsehen.

ODM erfasst Daten über Geschäftsentscheidungen und hilft in diesem Rahmen bei der Automatisierung und Steuerung.

Eine Schwachstelle (CVE-2023-7272 "hoch") betrifft die Eclipse-Parsson-Komponente, die JSON-Dokumente verarbeitet. Hier können Angreifer mit einem präparierten Dokument ansetzen. Öffnet ein Opfer so eine Datei, kommt es zu einem Speicherfehler, was in Abstürzen resultiert.

An der zweiten Sicherheitslücke (CVE-2025-2824 "hoch") können entfernte Angreifer für eine Phishing-Attacke ansetzen und mit hoher Wahrscheinlichkeit auf diesem Weg Zugangsdaten mitschneiden. Das gelingt über eine Open-Redirect-Attacke, bei der Angreifer Opfer auf eine von ihnen erstellte Website umleiten, die fälschlicherweise als vertrauenswürdig eingestuft wird.

Aus der Warnmeldung geht nicht hervor, ob es bereits Attacken gibt und woran Admins bereits attackierte Systeme erkennen können.

Die Techniker Krankenkasse sieht einen erfolgreichen Start der elektronischen Patientenakten (ePA), wäre aber auch für einen einfacheren Zugang zu einer aktiven Nutzung. "Wir bekommen viele Rückmeldungen von Versicherten, dass sie den Registrierungsprozess für die ePA zu kompliziert finden", sagte Vorstandschef Jens Baas der Deutschen Presse-Agentur. "Das möchten wir ändern." Baas denkt an ein Identifizierungsverfahren per Video. Dafür müssten jedoch die rechtlichen Rahmenbedingungen geändert werden.

Anfang des Jahres wurde für alle gesetzlich Versicherten, die nicht widersprochen haben, eine elektronische Patientenakte angelegt. Im April verfügten 70 Millionen Versicherte über eine ePA. Viele nutzen sie aber nicht aktiv, um eigene Daten anzusehen oder sensible Inhalte zu sperren. Fürs erste Verwenden der App muss man sich identifizieren und eine GesundheitsID erstellen: Das funktioniert entweder mit einem elektronischen Personalausweis samt PIN oder über die elektronische Gesundheitskarte und deren Pin. Nach der ersten Anmeldung ist es auch möglich, sich mit Biometrie in der ePA anzumelden – viele Krankenkassen bieten inzwischen auch Single-Sign-On an.

Die Techniker Krankenkasse (TK) würde jetzt auch gern das Videoident-Verfahren zur Anmeldung anbieten, wie Baas gegenüber der dpa sagte. Es sei komplett digital, benötige keine PIN und sei vielen Kunden aus dem Online-Banking bekannt. Dabei zeigt man in einem persönlichen Video-Chat einen Ausweis in die Kamera, wobei Sicherheitsmerkmale überprüft werden. Die Sicherheitsstandards für sensible Gesundheitsdaten sind aber generell höher als beim Online-Banking.

Ursprünglich war es möglich, sich für die Vorgängerversion der jetzigen elektronischen Patientenakte über das Videoident-Verfahren anzumelden. Nach erfolgreichen Versuchen von Sicherheitsforschern im Jahr 2022, eine Patientenakte für einen unbeteiligten Dritten anzulegen, wurde das Verfahren jedoch untersagt. Ob es zurückkommt, ist fraglich. Erst kürzlich hatte unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneut vor den Gefahren gewarnt, die mit videobasierten Identifikationsverfahren einhergehen. Das bringe technische und sicherheitsrelevante Herausforderungen mit sich. So könnten Identitäten mithilfe von KI generiert werden und vorgezeigte Dokumente gefälscht sein. Bereits vor dem Hype um generative KI warnten Sicherheitsbehörden vor möglichen Betrugsversuchen, die mit Videoident in Verbindung stehen.

Bei der TK loggen sich aktuell wöchentlich 70.000 Versicherte in die ePA ein, wie der Vorstandschef sagte. Insgesamt hat die größte gesetzliche Kasse elf Millionen E-Akten angelegt, aktiv nutzen sie 750.000 Versicherte. Dass es nach so kurzer Zeit eine Dreiviertelmillion seien, übertreffe die Erwartungen, sagte Baas. Die ePA sei keine Kommunikations-App, die täglich geöffnet werde. Die meisten nutzen sie unregelmäßig, etwa bei Krankheit oder vor Arztbesuchen.

Eine Sicherheitslücke im WordPress-Theme Alone macht damit ausgestattete Websites verwundbar. Angreifer nutzen die "kritische" Lücke bereits aus und führen Schadcode aus. Eine dagegen abgesicherte Version steht zum Download bereit.

Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Sie geben an, in der Spitze mehr als 120.000 Angriffsversuche beobachtet zu haben. Setzen Angreifer erfolgreich an der Sicherheitslücke (CVE-2025-5394) an, können sie ohne Authentifizierung aufgrund von mangelnden Überprüfungen Zip-Dateien mit Schadcode hochladen und ausführen.

Die Forscher erläutern, dass Angreifer versuchen, mit Schadcode verseuchte Plug-ins auf erfolgreich attackierten Websites zu installieren, um Hintertüren einzurichten. Admins sollten also nach ihnen unbekannten Plug-ins Ausschau halten.

Die Entwickler geben an, das Sicherheitsproblem in Alone – Charity Multipurpose Non-profit WordPress Theme 7.8.5 gelöst zu haben.

Erst im vergangenen April legte Microsoft einen Bericht vor, bei dem sich der Konzern für die Umsetzung von Maßnahmen feierte, die für mehr Sicherheit im Unternehmen und dessen Produkten sorgen sollten. "Secure by Design", "Security first" – das komplette Programm. Das war eine Reaktion darauf, dass zuvor eine offizielle Untersuchungskommission (das Cyber Safety Review Board) dem Unternehmen systematische Schlamperei bei der IT-Sicherheit nachgewiesen hatte.

Mit der Secure Future Initiative (SFI) sollte das alles besser werden und die Berichte sahen tatsächlich vielversprechend aus. Doch jetzt ist es an der Zeit, "Bullshit" zu rufen. Die SFI erwies sich als genau die potemkinsche Security-Fassade, die viele Experten befürchtet hatten.

Anlass für diese ernüchternde Bilanz sind zwei Ereignisse, die einen Blick hinter die Kulissen erlauben – und enthüllen, dass sich da gar nichts geändert hat: Microsoft schlampt bei der Sicherheit und ignoriert Security-Vorgaben, wenn es größere Gewinne verspricht.

Im Mai servierten zwei vietnamesische Sicherheitsforscher zwei kritische Sicherheitslücken in Microsofts Sharepoint-Server auf dem Silbertablett – inklusive beispielhafter Exploits, die demonstrieren, wie man damit Server komplett übernehmen kann. Nicht nur, dass Microsoft fast zwei Monate benötigte, um am 8. Juni Patches zu veröffentlichen, die diese Lücken beseitigen sollten. Der Patch für CVE-2025-49706 erwies sich als so stümperhaft, dass er sich durch das einfache Anhängen eines / an eine URL umgehen ließ. Auch der andere Patch erwies sich beim genaueren Hinschauen als dilettantischer Hotfix. Das Resultat: Mehrere Angreifergruppen nutzten diese Lücken, um Sharepoint-Server zu kapern. Sie übernahmen Hunderte von Servern und Ransomware-Banden werden noch auf Monate hinaus von diesem Reservoir an leicht zu erntenden Früchten profitieren.

Microsoft besserte am 20. Juli gezwungenermaßen nach und versorgte Sharepoint mit neuen Software-Flicken. Doch das Einspielen der neuen Sicherheits-Updates sorgte weiterhin nicht dafür, dass zuvor kompromittierte Systeme sicher wären. Dazu musste man nämlich zumindest den sogenannten MachineKey des IIS-Servers ändern. Sonst haben die Angreifer mit dessen Hilfe weiterhin Zugang. Warum das Sicherheits-Update diese unbedingt zu treffende Maßnahme nicht gleich mit angestoßen hat? Fragen Sie Microsoft! Sie werden wahrscheinlich genauso wenig Antwort bekommen, wie wir auf unsere Fragen zu dieser Sharepoint-Angelegenheit.

Dropbox Passwords wird eingestellt: Der Passwortmanager ist bereits zum 28. Oktober 2025 abgekündigt. Dann verlieren Anwender jeglichen Zugriff auf alle gespeicherten Passwörter, Benutzernamen und Zahlungsinformationen. Dropbox löscht sie direkt, eine Option zur Wiederherstellung gibt es nicht. Allerdings werden bereits am 28. August die Autofill-Funktionen eingestellt, Dropbox Passwords geht dann in den schreibgeschützten Modus über. Am 11. September schaltet der Anbieter außerdem die App für Smartphones ab.

Nutzer müssen folglich unmittelbar ihre Daten exportieren; sie erhalten hierbei eine CSV-Datei mit ihren bei Dropbox gespeicherten Informationen. Das funktioniert sowohl mit der Browser-Erweiterung als auch in der mobilen App. Der Anbieter empfiehlt als Ersatz den Dienst 1Password, allerdings lassen sich CSV-Dateien genauso bei anderen kommerziellen Passwortmanagern oder der freien Alternative KeePass importieren.

Wer in Unternehmen Dropbox Passwords einsetzt, muss zudem deutlich mehr Aufwand betreiben: Jeder Nutzer muss nämlich seine Daten selbst exportieren, eine zentrale Funktion hierfür gibt es nicht. Administratoren können lediglich überprüfen, welche ihrer Anwender den Dienst nutzen. Ist das der Fall, ist für sie in der Unternehmenskonsole ein Score vergeben. Abschließend müssen sie ihre betroffenen Nutzer über die Änderungen informieren und einen Ersatz bereitstellen. Zudem gibt es "einige Wochen" vor der Einstellung des Dienstes eine E-Mail von Dropbox an die Anwender, die ihre Daten weiterhin nicht exportiert haben.

Gleichzeitig stellt Dropbox die Dark-Web-Überwachung ein. Sie war Teil von Passwords und sollte im Darknet "Anzeichen von Kontodaten" des Nutzers finden. Wurde der Dienst fündig, wurde der Anwender benachrichtigt und konnte über den Passwortmanager neue Anmeldedaten vergeben.

Als Grund für den Schritt gibt Dropbox in der Ankündigung an, dass man sich auf "die Verbesserung anderer Features in unserem Kernprodukt […] konzentrieren" wolle. Der Anbieter hatte den Passwortmanager erst 2020 eingeführt, ein Jahr später folgte die Ausrichtung auf Business-Kunden. Als Teil der kommerziellen Tarife sollte der Dienst die Abonnements aufwerten, außerdem gab es eine funktionell beschnittene Gratisvariante. Zum Erfolg von Dropbox Passwords auf dem stark umkämpften Markt für solche Programme gab es nie Zahlen.

Die Endpoint-Management-Plattform HCL BigFix ist verwundbar, und Angreifer können unbefugt Daten einsehen oder mit viel Aufwand und richtigem Timing sogar auf einen privaten Schlüssel zugreifen. Die Schwachstellen finden sich konkret in HCL BigFix Remote Control. Eine abgesicherte Version steht zum Download bereit.

In einer Warnmeldung führen die Entwickler aus, dass sie die Sicherheitslücken in BigFix Remote Control 10.1 Fix Pack 3 geschlossen haben. Weil die Zugriffsbeschränkung nicht korrekt funktioniert, können Angreifer über das WebUI von BigFix Remote Control auf Server zugreifen und Informationen und bestimmte Websites einsehen (CVE-2025-31965 "hoch"). Wie so ein Angriff im Detail ablaufen könnte, erläutern die Entwickler derzeit nicht.

Setzen Angreifer erfolgreich an der zweiten Schwachstelle (CVE-2025-13176 "mittel") an, können sie über eine Seitenkanal-Timing-Attacke bei der ECDSA-Signaturberechnung möglicherweise einen privaten Schlüssel wiederherstellen. Dafür öffnet sich den Entwicklern zufolge ein Zeitfenster von lediglich 300 Nanosekunden. Weiterhin ist eine solche Attacke nur bei bestimmten elliptischen Kurven wie NIST P-521 möglich. Demzufolge ist ein derartiger Angriff mit vergleichsweise viel Aufwand verbunden.

In der Warnmeldung gibt es keine Hinweise, dass Angreifer die Lücken bereits ausnutzen. Unklar bleibt auch, woran Admins erfolgreich attackierte Instanzen erkennen können.

Broadcom stellt den Bitnami-Katalog um, der künftig nur noch gehärtete Images enthält. Die anderen Images wandern in einen Legacy-Katalog, den Broadcom nicht mehr pflegt. Zusätzlich gibt es mit Bitnami Secure Images kostenpflichtige Premium-Pakete mit speziellen Update-, Transparenz- und Sicherheitsgarantien.

Der zentrale Bitnami-Katalog – eine Sammlung sofort einsetzbarer Anwendungspakete – wird nur noch Images mit geringerer Angriffsfläche enthalten, die laut Blog-Eintrag „weniger“ CVE-Schwachstellen aufweisen. Ferner darf das Verzeichnis jetzt nur noch Pakete mit dem latest-Tag anbieten. Alle anderen verschiebt Broadcom in einen Legacy-Katalog, dessen Inhalte der Hersteller jedoch nicht mehr pflegt. Ausgenommen davon sind die Projekte Sealed Secrets und minideb. Das neue Angebot entspricht dem bisherigen Secure-Katalog.

Anwendern, deren Helm-Pulls ins Leere laufen, empfiehlt Broadcom, ein Upgrade auf dieselbe Version durchzuführen und den Repository-Parameter auf das Legacy-Verzeichnis umzustellen. Alternativ lassen sich die neuen Premium-Images nutzen. Welche Pakete konkret nur noch legacy sind, oder ein Premiumkonto benötigen, geht aus der Ankündigung von Broadcom nicht hervor.

Die 280 Premiumpakete gibt es über den Broadcom-Distributor Arrow. Der Anbieter managt sie und hat sie auf hohe Sicherheit optimiert. Er verspricht minimale CVE-Angriffsflächen, Updates innerhalb von Stunden und volle Transparenz auch für nicht gepatchte CVE-Schwachstellen. Das soll Lieferkettenangriffe erschweren und IT-Verantwortlichen ein echtes Risikomanagement ermöglichen. Neu sind auch minimale, distroless Helm-Charts, die bis zu 83 Prozent kleiner sind und nur die Hälfte der Pakete zur Laufzeit benötigen.

Hinzu kommen ein Long-Time-Support, eine Metadaten-API (mit SBOMs und VEX) und die Unterstützung von Photon OS.

Die als Zero-Day-Angriffe gemeldeten Angriffe auf Sharepoint waren vielleicht gar keine echten Zero-Days. Vielmehr richteten sie sich gegen bereits bekannte Schwachstellen, für die Microsoft zuvor am 8. Juli einen Patch veröffentlicht hatte. Ob deren Installation allerdings gegen die Angriffe geschützt hätte, bleibt weiter offen.

Doch der Reihe nach: Zum monatlichen Patchday, am 8. Juli, veröffentlichte Microsoft Patches zu zwei Lücken in on-premises-Installationen von MS Sharepoint, die die Lücken CVE-2025-49706 + CVE-2025-49704 schließen sollten. Am 19. Juli vermeldete Microsoft unter der Überschrift "Kundenhinweise zur SharePoint-Schwachstelle CVE-2025-53770" aktive Angriffe auf Sharepoint, gegen die dann etwas später die neuen Patches gegen Lücken mit dem Bezeichner CVE-2025-53770 und CVE-2025-53771 veröffentlicht wurden. Fortan ging alle Welt und auch heise online davon aus, dass es Zero-Day-Angriffe gegen die neuen 53770*-Lücken gab.

Nun stellt sich heraus, dass die Angriffe ab dem 17. Juli sich gegen die Patchday-Lücken CVE-2025-49706 und CVE-2025-49704 richteten, wie etwa eye Security einräumt. Allerdings ergaben genauere Untersuchungen der Patchday-Updates, dass Microsofts Sicherheitsflicken sehr stümperhaft gemacht waren und sich trivial umgehen ließen. So demonstrierte Kaspersky, dass man den Patch gegen CVE-2025-49706 durch das einfache Einfügen eines / in eine URL umgehen konnte.

So einfach ließ sich Microsofts Patch umgehen: das zusätzliche "/" löste den Fehler CVE-2025-49706 trotz Patch wieder aus

(Bild: Kaspersky)

Apples in der Nacht zum Mittwoch erschienene Updates für iOS, iPadOS und macOS sollten dringend schnell eingespielt werden: Wie nun erst bekannt wurde, wird damit auch ein WebKit-Bug gefixt, für den es bereits einen Exploit gibt. Dieser wird allerdings bislang nur verwendet, um Chrome-Nutzer anzugreifen, wie es in der zugehörigen NIST-Meldung heißt (CVE-2025-6558). Der Fehler wird mit "Severity: High" bewertet. Verwirrend: Apple warnt in seinen Sicherheitsunterlagen nicht vor bekannten aktiven Angriffen – offenbar, weil es für den Apple-Browser Safari noch keine entsprechenden Berichte gibt.

Laut Google, dessen eigene Threat Analysis Group (TAG) den Fehler entdeckt hat, hat man in Chrome Versionen vor 138.0.7204.157 beobachtet, wie es einem entfernten Angreifer über eine manipulierte Website gelang, einen Sandbox-Ausbruch durchzuführen, der dann zu weiteren Problemen führt. Grund ist die Verarbeitung nicht verifizierter Inputs in den Modulen GPU und ANGLE.

Apple selbst schreibt nur, dass CVE-2025-6558 zu einem "unerwarteten Absturz" in Safari führen könne, von einem Sandbox-Ausbruch ist dort nicht die Rede. Es könnte also sein, dass der Schweregrad auf Apple-Plattformen geringer ist – eine Bestätigung dazu gibt es bislang aber nicht. Apple schreibt weiter, es handele sich um eine Lücke "im Open-Source-Code" und Apples eigene Software sei "unter den betroffenen Produkten".

Der WebKit-Bug wird – zusammen mit zahlreichen weiteren Fehlern – sowohl in iOS 18.6 als auch in iPadOS 18.6 und macOS 15.6 behoben. Weiterhin erschien um einen Tag verzögert auch ein Update für macOS 13 (Ventura) und 14 (Sonoma): Safari 18.4 als Einzeldownload. Warum Apple den Browser für die älteren Systeme hier zunächst verzögert hatte, ist bislang unklar. Den Fix enthält weiterhin auch iPadOS 17.7.9, das Apple parallel zu iOS 18.6 und Co. veröffentlicht hatte. iOS 17 wird vom Hersteller hingegen nicht weiter gepflegt.

Der Vorgang zeigt, dass man bei Sicherheitsupdates genau hinschauen muss. Googles TAG hat bislang noch nicht verraten, wer die Angreifer waren und wie verbreitet der Exploit auf Chrome ist. Wer den Browser (oder darauf aufbauende mit Chromium) nutzt, sollte auch diesen dringend aktualisieren – gegen den Exploit hilft die Installation einer aktuellen Safari- oder macOS-Version nämlich nicht.

Aufgrund von mehreren UEFI-Sicherheitslücken können Angreifer bestimmte All-in-One-PC-Modelle von Lenovo der Serien IdeaCentre und Yoga attackieren. Im schlimmsten Fall können sie Sicherheitsmechanismen umgehen und Systeme von Nutzern unbemerkt vollständig mit Schadcode kompromittieren. Noch sind nicht alle abgesicherten UEFI-Versionen erschienen.

Wie aus einem Beitrag hervorgeht, finden sich die Schwachstellen (CVE-2025-4421 "hoch", CVE-2025-4422 "hoch", CVE-2025-4423 "hoch", CVE-2025-4424 "mittel", CVE-2025-4425 "mittel", CVE-2025-4426 "mittel") in einigen von Insyde Software auf bestimmte Lenovo-PCs angepasste UEFI-Versionen. Demzufolge sind nicht alle UEFI-Ausgaben von Insyde Software verwundbar. Die Sicherheitslücken ähneln denen, die Gigabyte kürzlich in einigen UEFI-Firmwares geschlossen hat.

Durch das Auslösen von Speicherfehlern können Angreifer im UEFI-Kontext Zugriff auf den Systemverwaltungsmodus (System Management Mode, SMM) bekommen. An dieser Stelle können Angreifer bereits vor dem Start eines Betriebssystems Schadcode platzieren und so die volle Kontrolle über Computer erlangen.

Die Beschreibung der Lücken liest sich so, als könnten Angreifer auf diesem Weg den Sicherheitsmechanismus Secure Boot umgehen. Der sorgt unter anderem dafür, dass ein Computer mit Schadcode manipulierte Betriebssysteme erkennt und nicht startet. In so einem Fall bliebe Schadcode unentdeckt und Opfer arbeiten, ohne es zu ahnen, mit einem kompromittierten System.

Auf die Lücken sind Sicherheitsforscher von Binarly gestoßen. Sie geben an, Lenovo Anfang April 2025 darüber informiert zu haben. Mittlerweile gibt es eine Warnmeldung des Computerherstellers zu den Sicherheitslücken.

Das Bundeskabinett hat sich auf einen Entwurf für die Umsetzung der überarbeiteten EU-Netzwerk- und Informationssicherheitsrichtlinie (NIS2) geeinigt. Damit verschiebt die Bundesregierung die meisten ungelösten Probleme der seit bald einem Jahr überfälligen deutschen Umsetzung zur weiteren Debatte in den Bundestag.

"Mit dem neuen Gesetz schaffen wir ein deutlich höheres Sicherheitsniveau für unsere Wirtschaft und Verwaltung", meint Bundesinnenminister Alexander Dobrindt (CSU). Diese würden durch die neuen Vorschriften widerstandsfähiger gegen Cyberangriffe. Damit sollen künftig fast 30.000 statt bisher 4500 Stellen verschärften Cybersicherheitsvorgaben unterliegen.

Während der gescheiterte Versuch der Ampel noch über die europäischen Vorgaben hinausgehen sollte, hat sich Schwarz-Rot auf die Fahne geschrieben, die EU-Richtlinie möglichst ohne jede Übererfüllung umsetzen zu wollen. "Wir setzen dabei auf klare Regeln ohne unnötige Bürokratie", betont Dobrindt.

Allerdings sind viele der nun in dem Kabinettsentwurf enthaltenen Formulierungen keineswegs klar und unumstritten. So bemängelt etwa der Internetwirtschaftsverband Eco, dass "zentrale Fragen" offen bleiben, etwa bei geplanten Ausnahmen für Unternehmen, deren kritische Rolle "vernachlässigbar" ist. "Was politisch pragmatisch klingt, ist europarechtlich heikel", kritisiert Ulrich Plate für den Eco-Verband.

Weitere Kritik an der NIS2-Umsetzung übt etwa der Bundesverband Breitbandkommunikation (Breko): Die Regelungen zu sogenannten "kritischen Komponenten", die die Bundesregierung nun neu formuliert, können deutlich über das hinausgehen, was bislang unter dem "Huawei"-Paragrafen 9b des BSI-Gesetzes verstanden wurde. Breko-Chef Stephan Albers fürchtet, dass damit "nicht nur bei 5G-, sondern auch bei Glasfasernetzen eine Untersagungsmöglichkeit für den Einsatz von geplanten oder bereits in Betrieb befindlichen Bauteilen" vorgesehen sei.