Comretix Blog

Die Neuauflage der schwarz-roten Koalition hat sich vorgenommen, Sicherheitsbehörden "den nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Internetdaten" etwa mithilfe Künstlicher Intelligenz (KI) zu erlauben. Doch just eine Studie von Europol – also aus dem Bereich Strafverfolgung selbst – gießt nun Wasser in den Wein der Überwachungsbefürworter. Biometrische Erkennungssysteme seien zwar "im Allgemeinen robust", heißt es in der Analyse. Doch es gebe zahlreiche Möglichkeiten, sie auszutricksen. Entscheidend sei daher, "die Schwachstellen solcher Systeme zu kennen".

Viele biometrische Erkennungssysteme gelten seit Längerem als geknackt. Attrappen mit digitalen Fingerprints erstellen etwa Hacker aus dem Umfeld des Chaos Computer Clubs (CCC) seit vielen Jahren. Auch Systeme zur Venen-, Iris- oder Gesichtserkennung haben sie umgangen. Das Operations- und Analysezentrum sowie das Innovationslabor von Europol vollziehen diese Schwachstellennachweise jetzt nach und leiten daraus Schlussfolgerungen für die Arbeit von Ermittlern ab.

Die Autoren des veröffentlichten Berichts konzentrieren sich auf sogenannte Präsentationsangriffe auf das Erfassungsgerät. Diese zielen darauf ab, sich als legitimer Benutzer auszugeben oder die Erkennung zu umgehen. Im Kern wird dabei dem System zur Erfassung biometrischer Daten ein imitiertes oder gefälschtes biometrisches Merkmal untergejubelt, mit dem Ziel, das Verfahren zu stören oder auszuhebeln.

Präsentationsangriffe, bei denen Fingerabdrücke nachgeahmt werden, können auch ohne Zustimmung einer Person durchgeführt werden, erläutert Europol. Bei solchen nicht einvernehmlichen Ansätzen würden Fingerprints von glatten oder nicht porösen Oberflächen wie Gläsern gewonnen. Alternativ könnten digital generierte Fingerabdrücke, die üblicherweise zum Trainieren biometrischer Erkennungssysteme verwendet werden, zur Erzeugung von Fälschungen beispielsweise per 3D-Druck genutzt werden. Fingerabdrücke ließen sich auch bewusst verändern, um einer Erkennung zu entgehen. Normalerweise würden Papillarleisten durch Arbeitsbedingungen oder Unfälle beschädigt, deren Zerstörung könne aber auch absichtlich erfolgen.

Angesichts der Fülle digitaler Fotos in Sozialen Netzen und anderen öffentlichen Bereichen ist es den Verfassern zufolge auch leicht, Bilder in die Finger zu bekommen, um sich bei einer automatisierten Gesichtserkennung als eine andere Person auszugeben. Die Erfolgsquote des Identitätsbetrugs lasse sich etwa daran messen, ob diese Methode mit weniger anspruchsvollen Smartphones eingesetzt werden könne. Diese ließen sich manchmal sogar durch einen einfachen Papierausdruck täuschen.

Drupal-Admins sollten sicherstellen, dass die von ihnen genutzten Module des Content Management Systems (CMS) auf dem aktuellen Stand sind. Geschieht das nicht, können Angreifer Websites im schlimmsten Fall kompromittieren.

Im Sicherheitsbereich der CMS-Website listen die Entwickler sieben im April geschlossene Softwareschwachstellen auf. Zwei Sicherheitslücken stufen sie als "kritisch" ein. Eine betrifft das Panels-Modul (CVE-2025-3474), über das Admins benutzerdefinierte Seiten erstellen können. Weil Berechtigungen nicht ausreichend kontrolliert werden, können Angreifer an dieser Stelle manipulierend eingreifen.

Dafür benötigen sie aber bestimmte Informationen einer Seite, die nicht im Quellcode einer Website verfügbar sind. Panels 8.x-4.9 ist abgesichert.

Die zweite kritische Lücke (CVE-2025-3131) betrifft das Modul ECA: Event, mit dem man Automationen festlegt. An dieser Stelle sind über eine CSRF-Attacke etwa Zugriffe auf eigentlich abgeschottete Informationen möglich. ECA 1.1.12, 2.0.16 und 2.1.7 sind mit Sicherheitsupdates versehen.

Darüber hinaus gibt es noch Patches für die Module Access Code, Gif Player Field, Obfuscate, TacJS und WEB-T. Ob es bereits Attacken gibt, ist derzeit unbekannt.

Über zwei Wochen nach Bekanntwerden eines Datenlecks in einer seiner Cloud-Umgebungen wandte sich Oracle nun mit einer E-Mail an Kunden. In der Stellungnahme bemühte sich der Konzern, den Angriff und dessen Auswirkungen kleinzuschreiben. Die Oracle-Cloud (OCI) habe, so bekräftigte Oracle erneut, keinen Sicherheitsverstoß erlitten. Hacker seien nicht in Kundenumgebungen eingedrungen, Daten von Kunden seien nicht gestohlen oder eingesehen worden und OCI-Dienste seien weder kompromittiert noch gestört gewesen, so die E-Mail.

Dass dennoch ein erfolgreicher Angriff stattgefunden hat, erwähnt Oracle im folgenden Absatz – ein "Hacker" habe User-Namen von zwei überflüssigen ("obsolete") Servern veröffentlicht, die jedoch nie Teil der Oracle-Cloud waren. Er habe auch mangels nutzbarer Kennwörter keinen Zugriff auf Kunden-Umgebungen oder -Daten gehabt.

Tatsächlich liegen heise security Demo-Datensätze vor, die direkt vom Angreifer stammen. In diesen sind weit mehr als lediglich Usernamen zu finden – neben E-Mail-Adressen, verschiedenen Passworthashes und den Oracle-internen Tenant-Kennungen finden sich auch die Namen der betroffenen Systeme sowie eine Vielzahl von Zeitstempeln. Diese erstrecken sich bis in den März 2025.

Oracles Behauptung, der Angreifer habe nicht auf "Kundendaten" zugegriffen, offenbart also: Es könnte sich um ein internes System des Konzerns gehandelt haben – und die personenbezogenen Informationen seiner Kunden sind für Oracle keine Kundendaten.

Alles also halb so schlimm? Das will Oracle seine Kunden glauben machen, offenbar in der Absicht, die peinliche Episode möglichst schnell abhaken zu können. Denn auch an einer weiteren Front hat Oracle Sicherheitsprobleme zugeben müssen: Beim zugekauften Unternehmen Cerner waren im Februar Gesundheitsdaten abgeflossen, was der Muttergesellschaft zwischenzeitlich gar eine Sammelklage einbrachte. Diese wurde vom Kläger jedoch bereits am 2. April zurückgezogen.

Angreifer können an insgesamt sechs Schwachstellen ansetzen, um Netzwerkspeicher (NAS) mit Dells Betriebssystem PowerScale OneFS zu attackieren. Im schlimmsten Fall können Angreifer die volle Kontrolle über Geräte erlangen.

In einem Beitrag listen die Entwickler die Lücken auf und nennen weiterführende Informationen zu den bedrohten und abgesicherten Versionen. Eine Schwachstelle gilt als "kritisch"(CVE-2025-27690). Aufgrund eines Standard-Passworts können Angreifer mit Fernzugriff ohne Authentifizierung einen Account mit hohen Nutzerrechten übernehmen. Aufgrund der Einstufung des Schweregrads der Lücke ist davon auszugehen, dass sie Geräte im Anschluss vollständig kompromittieren können.

Weiterhin sind aufgrund eines Fehlers (CVE-2025-26330 "hoch") unbefugte Zugriffe durch einen lokalen Angreifer ohne Anmeldung möglich. Schuld daran ist, dass im Fall einer Account-Deaktivierung Rechte bestehen bleiben.

Die verbleibenden Schwachstellen sind mit "mittel" und "niedrig" eingestuft. An diesen Stellen können Angreifer unter anderem für DoS-Attacken ansetzen.

Ob es bereits Attacken gibt, geht aus der Warnmeldung von Dell nicht hervor. Unklar bleibt auch, an welchen Parametern Angreifer bereits attackierte NAS-Systeme erkennen können. Die Entwickler geben an, die Lücken in den folgenden Versionen von PowerScale OneFS geschlossen zu haben.

HPE hat Sicherheitswarnungen zu Schwachstellen in diversen Netzwerkgeräten der Aruba-Tochtermarke veröffentlicht. Angreifer können durch die Sicherheitslecks teils sogar Schadcode auf verwundbare Geräte schleusen. Updates zum Abdichten der Sicherheitslecks stehen jedoch bereit.

Die gravierenderen Sicherheitslücken betreffen der ersten HPE-Sicherheitsmitteilung zufolge Aruba Mobility Conductor, Controllers und Gateways mit AOS-10- und AOS-8-Betriebssystemen. Als potenzielle Auswirkungen listen die Autoren die Ausführung von beliebigem Code aus dem Netz, Ausführung beliebiger Befehle, das Herunterladen beliebiger Dateien, Änderungen belliebiger Dateien, Cross-Site-Scripting (XSS) und die unbefugte Ausführung beliebiger Befehle.

Dafür verantwortlich sind insgesamt vier Sicherheitslücken. Durch das web-basierte Management-Interface lassen sich beliebige Dateien schreiben, wodurch authentifizierte Nutzer Code einschleusen und ausführen lassen können (CVE-2025-27082, CVSS 7.2, Risiko "hoch"). Sie können darin zudem Befehle einschleusen (CVE-2025-27083, CVSS 7.2, Risko "hoch"). Das Captive-Portal der web-basierten Verwaltungsoberfläche ermöglicht zudem Cross-Site-Scripting (CVE-2025-27084, CVSS 5.4, Risiko "mittel"). Angemeldete Nutzer können des Weiteren beliebige Dateien von verwundbaren Geräten herunterladen (CVE-2025-27085, CVSS 4.9, Risiko "mittel").

HPE stellt die Firmware-Versionen 10.7.1.1, 10.4.1.7, 8.12.0.4 und 8.10.0.16 bereit, die die Lücken stopfen. Es sind auch ältere Versionszweige von den Schwachstellen betroffen, allerdings sind die am Support-Ende angelangt und erhalten keine Aktualisierungen mehr.

Eine zweite Sicherheitsmitteilung behandelt Sicherheitslücken in HPE Aruba Access-Points. Auch hier können authentifizierte Angreifer aus dem Netz Befehle einschleusen, die ausgeführt werden (CVE-2025-27078, CVSS 6.5, Risiko "mittel"). Außerdem können sie beliebige Dateien auf den Geräten anlegen und so Schadcode aus dem Netz einschleusen und ausführen (CVE-2025-27079, CVSS 6.0, Risiko "mittel"). Die Firmware-Versionen AOS-10 10.7.0.2, 10.4.1.6 sowie AOS-8 Instant 8.12.0.4 und 8.10.0.16 und jeweils neuere bessern die sicherheitsrelevanten Fehler aus.

Das Plug-in SureTriggers ist auf 100.000 Wordpress-Instanzen aktiv. IT-Sicherheitsforscher haben eine Sicherheitslücke darin entdeckt, die diese Instanzen gefährdet.

In einem Blog-Beitrag erörtern die IT-Forscher von Wordfence, dass es Angreifer aus dem Netz ohne vorherige Authentifizierung administrative Nutzerkonten erstellen können. Sofern kein API-Key in dem SureTriggers-Plug-in eingerichtet ist, können Angreifer dadurch Administrator-Nutzer hinzufügen und damit Wordpress-Instanzen vollständig kompromittieren (CVE-2025-3102, CVSS 8.1. Risiko "hoch").

Detailliertere Plug-in-Schwachstellenuntersuchung

"Das 'SureTriggers: All-in-One Automation Platform Plugin' für WordPress ist anfällig für eine Umgehung der Authentifizierung, was zur möglichen Erstellung eines administrativen Kontos führt. Grund dafür ist eine fehlende Überprüfung des Wertes 'secret_key' in der Funktion 'autheticate_user' in allen Versionen bis einschließlich 1.0.78", erklärt Wordfence die Schwachstelle. Die Analyse geht noch tiefer und zeigt die verwundbaren Codeschnippsel.

Am Donnerstag der vergangenen Woche haben die SureTriggers-Programmierer Version 1.0.79 veröffentlicht. Sie schließt die Sicherheitslücke. Wordpress-Betreiber, die das SureTriggers-Plug-in einsetzen, sollten sicherstellen, die aktualisierte oder eine neuere Fassung zu verwenden. Angriffe auf die Sicherheitslücke sind jetzt zumindest erwartbar.

Aufgrund der großen Menge an verfügbaren Wordpress-Plug-ins finden sich täglich zig mit Sicherheitslücken. Die meisten sind glücklicherweise jedoch nicht weit verbreitet. Vergangene Woche wurde jedoch etwa eine Schwachstelle im Wordpress-Plug-in WP Ultimate CSV Importer bekannt, das auf etwa 20.000 Wordpress-Seiten aktiv ist. Sofern Angreifer auf ein Konto auf damit ausgestatteten Wordpress-Instanzen zugreifen können, ermöglciht ihnen das ebenfalls die vollständige Übernahme. Auch hierfür steht eine aktualisierte Software-Version bereit, auf die Admins rasch updaten sollten.

Sicherheitslücken im Linux-Kernel stehen im Visier von Angreifern und werden aktiv missbraucht. Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Wer noch mit älterem Kernel unterwegs ist, sollte rasch auf aktuellen Stand aktualisieren.

In einer Benachrichtigung nennt die CISA lediglich die CVE-Schwachstelleneinträge der attackierten Sicherheitslücken. Informationen zu den Attacken selbst fehlen vollständig. Unklar ist daher der Umfang der Angriffe und etwa, mit welchem Ziel die bösartigen Akteure agieren.

Beide Schwachstellen finden sich im ALSA-Audio-Code. Ende Dezember haben die Linux-Entwickler potenzielle Zugriffe außerhalb vorgesehener Speicherbereiche durch den ALSA-USB-Support für Extigy- und Mbox-Geräte behoben. Manipulierte Geräte konnten zuvor manipulierte Werte zurückliefern, deren weitere Nutzung zu solchen Zugriffen außerhalb der Speichergrenzen etwa bei der Ausführung der Funktion usb_destroy_configuration und offenbar der Ausführung eingeschleusten Codes führt (CVE-2024-53197, kein CVSS).

Auch die zweite angegriffene Lücke findet sich im ALSA-Stack (Advanced Linux Sound Architecture). Bei der Suche nach Clock-Sources können Lesezugriffe außerhalb der Speichergrenzen auftreten, da der USB-Audio-Treiber-Code die Länge der Struktur bLength von Clock-Deskriptoren nicht geprüft hatte. Manipulierte Geräte können hier Werte übergeben, die die Schwachstelle auslösen (CVE-2024-53150, CVSS 7.8, Risiko "hoch"). Auch diese Schwachstelle wurde in diversen Kernel-Zweigen rund um die vergangenen Weihnachten ausgebessert.

Aufgrund der Schwachstellenbeschreibung lässt sich erahnen, dass Angreifer möglicherweise verwundbare Systeme übernommen haben, indem sie daran arbeitenden Personen manipulierte USB-Hardware untergeschoben haben. Es ist jedoch nicht auszuschließen, dass der verwundbare Code auf anderen Wegen angesprungen werden kann. Da jedwede konkreten Hinweise zu den beobachteten Angriffen fehlen, lässt sich nicht ableiten, wie attackierte Systeme zu erkennen sind.

Fortinet hat Sicherheitsupdates für zahlreiche Produkte veröffentlicht. Eine der damit geschlossenen Schwachstellen gilt als kritisches Risko, zwei weitere haben den Bedrohungsgrad "hoch".

Am gravierendsten ist eine Sicherheitslücke in Fortiswitches, durch die Angreifer aus dem Netz ohne Authentifizierung Admin-Passwörter mit speziell präparierten Anfragen verändern können (CVE-2024-48887, CVSS 9.3, Risiko "kritisch"). Die Lücke schließen die Software-Stände 6.4.15, 7.0.11, 7.2.9, 7.4.5 oder 7.6.1 und neuere.

Zudem finden sich nicht zureichend Einschränkungen von erwünschten Endpunkten in Kommunikationskanälen. Das ermöglicht Angreifern in Man-in-the-Middle-Postion, sich als Verwaltungsinterface auszugeben, indem sie FGFM-Authentifizierungsanfragen zwischen den eigentlichen Endpunkten abfangen. Davon betroffen sind FortiOS, Fortiproxy, Fortimanager, Fortianalyzer, Fortivoice und Fortiweb (CVE-2024-26013, CVE-2024-50565, beide CVSS 7.1, Risiko "hoch"). In Fortiisolator können Angreifer mit "Super-Admin"-Profil und Zugriff auf die Kommandozeile über speziell präparierte HTTP-Anfragen Code einschleusen und unbefugt ausführen, was auf unzureichende Filterung von Elementen zurückgeht (CVE-2024-54024, CVSS 7.0, Risiko "hoch").

IT-Verantwortliche sollten die neuen Sicherheitsmitteilungen überprüfen und für in ihren Netzen eingesetzte Instanzen die verfügbaren Updates herunterladen und installieren oder gegebenenfalls die teils verfügbaren temporären Gegenmaßnahmen umsetzen, bis eine Aktualisierung möglich ist.

Cyberkriminelle attackieren regelmäßig Sicherheitslücken in Fortinet-Geräten, da diese in der Regel etwa Zugang zu Netzwerken ermöglichen. Daher sollten Admins nicht lange zögern, sondern die Updates rasch installieren.

Die zehnte Ausgabe der sicheren Remote-Shell OpenSSH schneidet einige alte Zöpfe ab, hält sich an Post-Quantum-Standards und trennt die Nutzeranmeldung vom Rest des Servers. Der eine Dekade lang vollzogene Rauswurf des längst veralteten DSA-Signaturalgorithmus ist nun abgeschlossen, was nur die wenigsten Nutzer merken dürften. Denn bereits seit dem Jahr 2015 ist DSA in der Standardkonfiguration des SSH-Servers deaktiviert, seit letztem Jahr muss die Unterstützung beim Übersetzen des Quellcodes zudem zusätzlich aktiviert werden. Nun verschwinden die letzten Überbleibsel aus dem OpenSSH-Code.

Auch der Schlüsselaustausch mittels "klassischem" Diffie-Hellman verschwindet aus dem SSH-Server, denn er bietet gegenüber jenem mithilfe elliptischer Kurven oder quantensicherer Algorithmen keine Leistungsvorteile.

Der Standardalgorithmus zum Schlüsselaustauch verändert sich ebenfalls. Die Entwickler erkoren MLKEM-768 zum neuen quantensicheren Verfahren der Wahl. Bereits die Vorgängerversion hatte einen vermutlich quantensicheren Algorithmus in der Standardkonfiguration zum Schlüsselaustauch verwendet, nämlich einen Hybriden aus NTRU Prime und X25519. Diesen tauscht das Entwicklerteam nun aus, da MLKEM nicht nur schneller sei, sondern zudem auch vom NIST mittlerweile standardisiert ist.

Angriffe gegen den Anmeldevorgang am SSH-Server sind seit jeher die Königsklasse der Sicherheitslücken, wie etwa der Terrapin-Angriff und die RegreSSHion-Lücke aus 2024. Um die Auswirkungen von derlei Attacken zu mildern, lagert OpenSSH 10 den Authentifizierungsvorgang in ein eigenes Programm namens ssh-auth aus. Dessen Hauptspeicherbereich ist von dem des restlichen Servers getrennt, so dass selbst bei einem erfolgreichen "pre-Authentication exploit" weniger Wechselwirkungen zu erwarten sind.

Dutzende weitere Fehlerbehebungen, kleinere neue Features und ein Sicherheits-Fix zur DisableForwarding-Konfigurationsdirektive runden das OpenSSH-10-Release ab. Kundige Admins können Server und Client aus dem Quellcode kompilieren, Pakete für Linux-Distributionen sind derzeit noch nicht erhältlich.

Im freien Grafikprogramm GIMP hat die Zero-Day-Initiative (ZDI) von Trend Micro zwei Schwachstellen gefunden. Angreifer können sie zum Einschmuggeln und Ausführen von Schadcode missbrauchen. Abhilfe schafft die Version 3 von GIMP.

Das ZDI hat ebenso wie das GIMP-Projekt die Meldungen zu den Schwachstellen nun öffentlich gemacht. CVE-Schwachstelleneinträge existieren bislang allerdings noch nicht, die dürften jedoch in Kürze folgen. Die Sicherheitslücken haben die ZDI-Forensiker in GIMP 2.10.38 entdeckt, die bislang letzte und aktuelle Fassung des 2er-Entwicklungszweigs.

Eine Schwachstelle findet sich in der Verarbeitung von FLI-Dateien. Durch sie ist es möglich, dass es zu Schreibzugriffen auf Speicher außerhalb der vorgesehenen Grenzen kommt. Laut Sicherheitsmitteilung kann das zum Ausführen von Schadcode aus dem Netz führen (noch ohne CVE, CVSS 7.8, Risiko "hoch"). Eine zweite Sicherheitslücke betrifft den Parser für XWD-Dateien. Darin kann ein Integer-Überlauf und in der Folge Schreibzugriffe außerhalb vorgesehener Speichergrenzen auftreten, ebenfalls mit der Folge, dass eingeschleuster Schadcode zur Ausführung gelangt (noch ohne CVE, CVSS 7.8, Risiko "hoch").

Die GIMP-Entwickler haben die Sicherheitslücken in GIMP 3 geschlossen. GIMP-Nutzerinnen und -Nutzer sollten daher unbedingt auf den neuen Versionszweig aktualisieren, um die Angriffsfläche auf ihren Systemen zu minimieren. Unter Windows 10 und 11 lässt sich GIMP 3 komfortabel aus dem Microsoft Store einrichten, der dann auch für zeitnahe Updates der Software sorgt, sollten diese nötig sein. Unter Linux ist dazu in der Regel die Softwareverwaltung der eingesetzten Distribution aufzurufen, sodass diese nach Aktualisierungen sucht und diese installieren kann.

GIMP 3 erschien Mitte März und wurde bereits lange erwartet, immerhin sieben Jahre dauerte die Entwicklung. Die neue Version kennt nicht-destruktive Filter, verbessert die Unterstützung für hochauflösende Displays (HiDPI) und erweiterte Farbräume.

Ivanti Endpoint Manager ist verwundbar. Insgesamt können Angreifer an sechs mittlerweile geschlossenen Schwachstellen ansetzen. Derzeit gibt es den Entwicklern zufolge keine Hinweise auf Attacken.

Wie aus einer Warnmeldung hervorgeht, gilt eine Reflected-XSS-Schwachstelle (CVE-2025-22466 "hoch") am gefährlichsten. Hier kann sich der knappen Beschreibung zufolge ein entfernter Angreifer ohne Authentifizierung Admin-Rechte erschleichen. Dafür muss ein Opfer aber mitspielen. Wie das im Detail ablaufen könnte, ist bislang unklar.

Durch eine präparierte DLL-Bibliothek kann sich ein bereits authentifizierter Angreifer System-Rechte verschaffen (CVE-2025-22358 "hoch"). Eine SQL-Lücke (CVE-2025-22461 "hoch") erlaubt es Angreifern, die dafür jedoch bereits Admin sein müssen, Schadcode auszuführen.

Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad "mittel" eingestuft. An diesen Stellen kann sich ein Angreifer zum Beispiel aufgrund einer unzureichenden Zertifikatsüberprüfung in Verbindungen einklinken.

Die Entwickler versichern, die Schwachstellen in den Ivanti-Endpoint-Manager-Versionen 2022 SU7 und 2024 SU1 geschlossen zu haben.

Schwachstellen in AEM Forms, After Effects, AEM Screens, Animate, Bridge, ColdFusion, Commerce, FrameMaker, Media Encoder, Photoshop, Premiere Pro und XMP Toolkit SDK gefährden PCs.

Bislang gibt es keine Berichte, dass Angreifer Lücken bereits ausnutzen. Admins sollten mit dem Installieren der Sicherheitsupdates aber nicht zu lange zögern. In den unterhalb dieser Meldung verlinkten Warnmeldung finden Admins weiterführende Informationen zu den Schwachstellen und abgesicherten Versionen.

Die meisten Sicherheitslücken betreffen ColdFusion. Hier haben die Entwickler unter anderem vier "kritische" Schadcode-Schwachstellen (CVE-2025-24446, CVE-2025-24447, CVE-2025-30281, CVE-2025-30282) geschlossen. Wie Attacken konkret aussehen könnten, geht aus der Warnmeldung nicht hervor. Offensichtlich gibt es diverse Ansatzpunkte wie eine unzureichende Überprüfung von Eingaben und eine unzulässige Authentifizierung.

Die Entwickler geben an, die Lücken in ColdFusion 2021 Update 19, ColdFusion 2023 Update 13 und ColdFusion 2025 Update 1 geschlossen zu haben.

Weitere Attacken mit Schadcode sind unter anderem auf Animate und FrameMaker möglich. An diesen Stellen können Angreifer auf nicht näher beschriebenen Wegen Speicherfehler auslösen. Um Attacken vorzubeugen, haben die Entwickler unter macOS und Windows Animate 2023 23.0.11 und Animate 2024 24.0.8 veröffentlicht. FrameMaker wurden in den Ausgaben FrameMaker 2020 Update 8 und FrameMaker 2022 Update 6 unter Windows abgesichert.

Derzeit haben Angreifer Windows 10/11 und verschiedene Windows-Server-Versionen im Visier. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Admins sollten zügig sicherstellen, dass Windows Update aktiv ist und PCs auf dem aktuellen Stand sind.

Die ausgenutzte Schwachstelle (CVE-2025-29824 "hoch") betrifft den Protokolldateisystem-Treiber. Viele Informationen zur Lücke sind zurzeit nicht verfügbar. Die wenigen Angaben lassen darauf schließen, dass sich lokal authentifizierte Angreifer System-Rechte verschaffen können. Da es sich um eine Speicherfehler-Schwachstelle (use-after-free) handelt, ist davon auszugehen, dass Angreifer diesen Fehler mit bestimmten Eingaben auslösen können.

In der Position nach einer erfolgreichen Attacke liegt es nahe, dass Angreifer Schadcode ausführen und so ganze Systeme kompromittieren. In einer Warnmeldung zur Lücke führt Microsoft aus, dass die Sicherheitspatches für Windows 10 32 Bit und 64 Bit bislang nicht verfügbar sind. Wann sie folgen, ist noch unklar.

Mehrere Schadcode-Schwachstellen stuft Microsoft als "kritisch" ein. Diese betreffen unter anderem Excel (CVE-2025-27752 "hoch"), Hyper-V (CVE-2025-27491 "hoch") und Windows Remote Desktop Services (CVE-2025-27480 "hoch"). Im letzten Fall muss sich ein Angreifer lediglich via RDP mit einem verwundbaren System verbinden, eine Race Condition auslösen, um Schadcode auf Computer schieben zu können. Die Hyper-V-Updates für Windows 10 sollen zu einem späteren Zeitpunkt erscheinen.

Ferner gibt es noch Patches für etwa Office, SharePoint und Windows Defender. An diesen Stellen können Angreifer unter anderem unbefugt Informationen einsehen, DoS-Zustände auslösen oder sich höhere Nutzerrechte verschaffen. Ausführlichere Informationen zu den Sicherheitslücken führt Microsoft im Security Update Guide auf.

Die 29. Folge des Podcasts von heise security bestreiten Sylvester und Christopher wieder zu zweit, diese Folge kommt ohne Gast aus. Allerdings nicht ohne zahlreiches Feedback der Hörer, die sich Sorgen um Smartphone-Sicherheit machen. Einige Rückmeldungen besprechen die Hosts miteinander und tauschen sogar die Rollen: Der Apple-Nutzer Christopher erzählt zu neuen Sicherheits-Features beim Konkurrenten Android.

Die Bundeswehr plant angeblich die Errichtung mindestens einer Satellitenkonstellation, die zur Kommunikation, Aufklärung oder Erdbeobachtung genutzt werden soll. Das berichtet das Handelsblatt unter Berufung auf Insider und das Verteidigungsministerium selbst. Das Projekt soll Deutschland von Technik aus dem Ausland unabhängig machen, allen voran dem Satelliteninternet Starlink von SpaceX. Das habe seinen Wert längst unter Beweis gestellt, ist aber aus verschiedenen Gründen für die Bundeswehr nur bedingt nutzbar. Die Pläne für eine oder mehrere eigene Konstellationen stellen auch eine Abkehr von der europäischen Starlink-Alternative Iris2 dar, die dem Militär aber auch nur teilweise zur Verfügung stünde.

Wie das Handelsblatt weiter schreibt, hat das Verteidigungsministerium den Bericht bestätigt. Es würden verschiedene Optionen für den möglichen Aufbau von Satellitenkonstellationen untersucht, um den steigenden Bedarf durch nationale Fähigkeiten zu decken. Pro Konstellation würden Kosten von einer bis zehn Milliarden Euro anfallen, zitiert das Blatt einen Insider, die Bundeswehr wolle vor allem auf heimische Firmen setzen. Das Geld stehe mit der neuen Schuldenregelung zur Verfügung. Aktuell liefen bereits Gespräche mit den neuen deutschen Raketenunternehmen Isar Aerospace, RFA und Hyimpulse. Die Zeit dränge, so ein Experte. SpaceX solle explizit nicht genutzt werden.

Grundlegende Charakteristika der geplanten Konstellation oder Konstellationen seien aber noch unklar, heißt es weiter. So gehe es vor allem um die Bereiche Kommunikation, Aufklärung und Erdbeobachtung, die nötige Technik könne theoretisch auf einem Satelliten angebracht werden. Dann müssten diese aber äußerst groß werden und es würden sich Einschränkungen im Betrieb ergeben. Gleichzeitig plane die Bundeswehr möglichst wenige Bodenstationen, die Satelliten müssten also untereinander kommunizieren können, beispielsweise über Laser. Nicht einmal die Frage, in welchen Orbits die Satelliten platziert werden sollen, ist demnach geklärt. Niedrigere verringern die Latenz, auf höheren lässt sich mehr Fläche abdecken.

Auch wenn es sich bei den ersten Planungen und Gesprächen um einen deutschen Alleingang handle, sei ein Ausschluss europäischer Partner nicht vorgegeben. Die Zeitung zitiert noch den Chef des Bremer Satellitenbauers OHB, laut dem Italien, Großbritannien und osteuropäische Staaten derzeit über eigene Satellitenkonstellationen nachdenken. Das unterstreicht auch, wie stark sich das Bild des US-Unternehmens SpaceX zuletzt gewandelt hat. Schon auf den Krieg in der Ukraine hat SpaceX-Chef Elon Musk versucht, Einfluss zu nehmen und hat versucht, Starlink als Druckmittel einzusetzen. Seit er zum einflussreichen Vertrauten von Donald Trump aufgestiegen ist, ist das Vertrauen in seine Zuverlässigkeit weiter gesunken.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Ein Einbruch in das E-Mail-System der US-Bankenaufsicht war offenbar schwerwiegender als zunächst intern angenommen: Der Täter hat sich Zugang zu mehr E-Mail-Konten des Office of the Comptroller of the Currency (OCC) zu verschaffen gewusst als ursprünglich ersichtlich war.

Das berichtet Bloomberg Law unter Berufung auf nicht namentlich genannte Eingeweihte. Der Täter hat demnach schon im Juni 2023 ein Administratorkonto geknackt und sich damit in zahlreiche E-Mail-Konten von OCC-Beamten eingenistet. Die Bundesbehörde OCC überwacht in den USA tätige Banken und Sparkassen, ist für die Durchsetzung von Bestimmungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständig und soll den Wettbewerb in der Branche stärken. Sowohl für Spekulanten wie organisierte Verbrecher können einschlägige Insiderinformationen Gold wert sein.

Aufgeflogen ist der Einbruch erst nach rund 21 Monaten, im Februar. Das OCC veröffentlichte daraufhin eine wortkarge Mitteilung, wonach eine "begrenzte Zahl" an E-Mail-Konten betroffen sei. Diese seien stillgelegt worden. "Zur Zeit" gäbe es keine Hinweise auf Auswirkungen auf die Finanzbranche, sagte das OCC damals.

Laut Bloomberg Law sind unter den Betroffenen insgesamt rund 100 Beamte, darunter hochrangige Manager und Überwacher internationaler Banken. Die Täter hätten Zugang zu mehr als 150.000 E-Mails gehabt. Voriges Jahr hatte die Behörde insgesamt 3.630 Mitarbeiter (Vollzeitäquivalente). Wer hinter dem erfolgreichen Angriff steckt, ist bislang nicht bekannt.

Das OCC wurde 1863 gegründet und ist als unabhängige Abteilung des US-Finanzministeriums eingerichtet. Dieses musste Anfang des Jahres eingestehen, Opfer eines IT-Angriffs aus der Volksrepublik China geworden zu sein. Der Täter habe sich aus der Ferne Zugang zu mehreren Computern des Finanzministeriums und den darauf befindlichen, nicht als geheim eingestuften Dokumenten verschafft. Das Außenamt Chinas stellte die Vorwürfe in Abrede und erklärte, es gäbe keine Beweise.

Um in Zukunft nicht Angriffen von großen Quantencomputern ausgeliefert zu sein, ergänzen viele Bibliotheken Post-Quanten-Verfahren. So auch OpenSSL, die im September 2024 ankündigten, die frisch standardisierten Post-Quanten-Verfahren zeitnah zu implementieren. Das ist nun geschehen: Mit der neuen Version 3.5.0 unterstützt OpenSSL die Verfahren ML-KEM, ML-DSA und SLH-DSA.

Die Verfahren sind das Ergebnis eines 2016 gestarteten Auswahlverfahren der US-amerikanischen Standardisierungsbehörde NIST (National Institute of Standards and Technology). Dieser mündete 2024 in drei Standards: FIPS-203, FIPS-204 und FIPS-205. Deutsche Forscher waren an vielen der eingereichten Verfahren beteiligt.

FIPS-203 basiert auf dem asymmetrischen Kyber-Algorithmus (jetzt kurz ML-KEM genannt, früher CRYSTALS-Kyber), der künftig klassische Schlüsselaustauschverfahren wie RSA oder ECDSA ablösen soll. FIPS-204 beruht auf dem Dilithium-Algorithmus (ML-DSA, früher CRYSTALS-Dilithium) und dient für digitale Signaturen. Als Alternative zu ML-DSA standardisierte das NIST mit FIPS-205 noch Sphincs+ (SLH-DSA).

Abseits der Implementation der PQC-Verfahren stufte OpenSSL mit der Version 3.5.0 sämtliche Funktionen von BIO_meth_get_*() als veraltet (deprecated) ein. Zudem löst für die Befehle req, cms und smime das symmetrische Verfahren aes-256-cbc nun des-ede3-cbc als Standard ab. Alle weiteren Änderungen finden sich auf GitHub in den Release-Informationen dokumentiert.

Die am 8. April 2025 veröffentlichte Version ist zudem eine LTS (long term stable) und wird für fünf Jahre bis zum 8. April 2030 mit Updates versorgt. Die nächste Version 3.6 soll im Oktober 2025 erscheinen.

Zum Stopfen von Sicherheitslücken in HCL BigFix, DevOps, Traveler und Connections stellt HCL Software nun Updates bereit. Die Lücken gelten teils als kritisch. IT-Verantwortliche sollten die Updates zügig anwenden.

Am schwersten hat es HCL BigFix WebUI, also die Management-Oberfläche für BigFix, getroffen. Mehrere Schwachstellen sind in den darin verwendeten Open-Source-Komponenten, davon ist eine in canvg 4.0.2 als kritisch eingestuft (CVE-2025-25977, CVSS 9.8) sowie zwei in xml-crypto (CVE-2025-29774, CVE-2025-29775, beide CVSS 9.3).

Auch in BigFix Server Automation ist ein Open-Source-Modul für das Aufreißen einer Sicherheitslücke verantwortlich, hier liegt es an axios, einem HTTP-Client für den Browser und node.js. Eine potenzielle Server-Side-Request-Forgery (SSRF) darin gefährdet die Sicherheit des Systems (CVE-2025-27152, CVSS 7.7, Risiko "hoch").

Die weiteren Schwachstellen haben etwas niedrigere Risiko-Einstufungen erhalten, stellen dennoch ein potenzielles Einfallstor für bösartige Akteure dar. Die Sicherheitsmitteilungen von HCL sollten Admins daher darauf prüfen, ob sie die verwundbare Software einsetzen und im Anschluss die verfügbaren Aktualisierungen herunterladen und installieren.

Die Schwachstellen absteigend nach Schweregrad sortiert: