Comretix Blog

Derzeit ist der Cybercrime-Marktplatz BreachForums offline. Als Grund nennen die Hintermänner, dass Strafverfolger das Forum über eine Zero-Day-Sicherheitslücke gehackt und sich so Zugriff dazu verschafft haben.

Das geht aus einem Statement hervor (siehe Screenshot), das zum Zeitpunkt dieser Meldung beim Aufrufen der Website des Untergrundforums erscheint. Darin schreiben die Betreiber, dass sie Mitte April 2025 Informationen erhalten haben, dass sich "verschiedene Agenturen und andere globale Strafverfolgungsbehörden" nach dem erfolgreichen Ausnutzen einer Schwachstelle in der Forensoftware MyBB Zugriff verschafft haben.

Im Anschluss haben sie das Forum eigenen Angaben zufolge umgehend offline genommen und mit der Aufklärung des Sicherheitsvorfalls begonnen. Sie versichern, dass ihre Infrastruktur nicht kompromittiert ist und dass keine Daten abgezogen wurden. Außerdem warnen sie Nutzer vor BreachForums-Klonen, die von Sicherheitsforschern aufgestellte Fallen (Honeypots) sein können.

Verkehrte Welt: In der Summe liest sich das Statement so, wie von einer legitimen Firma, die einen IT-Sicherheitsvorfall erlitten hat.

Die Bordbetreiber entschuldigen sich bei ihrer Community für die intransparente Kommunikation zu dieser Zeit und versichern, dass die Sicherheit ihrer Nutzer die oberste Priorität habe. Onlinekriminelle haben sich in den vergangenen Jahren leider extrem professionalisiert. Sie richten sich etwa am Vorbild von Unternehmen inklusive Bewerbungsgesprächen und Krankengeld aus. Auch die Kommunikation klingt nach poliertem PR-Sprech.

Seit September 2024 lässt Microsoft interessierte Admins das Hotpatching für Windows Server 2025 ausprobieren, gratis. Damit lassen sich Sicherheitsupdates anwenden, ohne, dass ein Serverneustart nötig wäre. Das verhindert Downtimes und verspricht mehr Sicherheit im laufenden Betrieb. Nun hat Microsoft ein Preisschild an die Funktion geheftet.

Im Windows-Server-Blog hat Microsoft einen Eintrag veröffentlicht, in dem das Unternehmen das Ende der Testphase und der Vorschauversion ankündigt. Hotpatching für Windows Server 2025 wird demnach ab dem 1. Juli 2025 allgemein verfügbar. Es handelt sich um ein Abo-Modell. Microsoft verlangt monatlich 1,50 US-Dollar je CPU-Kern für die Funktion. Das Unternehmen erklärt zudem, dass die Abrechnung für Hotpatching monatlich erfolge, damit die Kosten über das Jahr konsistent bleiben, sowohl in Hotpatching- als Nicht-Hotpatching-Monaten.

Microsoft rührt die Werbetrommel. Admins sollen die Funktion testen, solange sie noch kostenlos verfügbar ist, ködert Microsoft. Zwar würden durch Hotpatching noch etwa vier Neustarts im Jahr fällig, jedoch könne es signifikant Zeit einsparen und das Unbehagen mit dem traditionellen Patch-Tuesday lindern. In der Azure-Ausgabe des Windows-Servers gebe es Hotpatching seit Jahren. Etwa das Xbox-Team setze das ein, um die Prozesse auf einige Tage zu verschlanken, die das Team zuvor für Wochen eingeschränkt hätten.

Die Voraussetzung für Hotpatching außerhalb von Azure ist, dass Windows Server 2025 Standard oder Data Center in On-Premises- oder Multi-Cloud-Umgebungen mit Arzure Arc verbunden sind und den Hotpatching-Dienst abonniert haben. Wer die Funktion testet, muss sie bis zum 30. Juni 2025 wieder entfernen, wenn eine Umstellung auf den kostenpflichtigen Abo-Dienst nicht erwünscht ist.

Auch für Windows-11-Desktop-Clients ist Hotpatching seit Anfang April verfügbar. Voraussetzung sind Abonnements der Stufen E3, E5, F3 oder ein Education-Abo A3 und A5 oder eine Windows-365-Enterprise-Lizenz.

Cyberkriminelle attackieren junge Sicherheitslücken in mehreren Produkten. Betroffen sind Commvault, Brocade Fabric OS und Active! Mail. Auf die Schwachstellen wurden Angriffe in freier Wildbahn beobachtet. Admins sollten die fehlerbereinigten Versionen zügig installieren.

Die US-amerikanische Cybersicherheitsbehörde CISA warnt aktuell vor den laufenden Cyberattacken. Eine der angegriffenen Sicherheitslücken findet sich im Betriebssystem Brocade Fabric OS. Laut Schwachstellenbeschreibung haben die Entwickler seit Version 9.1.0 zwar den root-Zugang entfernt, aber lokale Nutzer mit Admin-Rechten können möglicherweise beliebigen Code mit vollen root-Rechten ausführen. Betroffen ist Fabric OS 9.1.0 bis 9.1.1d6 (CVE-2025-1976, CVSS 8.6, Risiko "hoch"). Laut Broadcoms Sicherheitsmitteilung korrigiert Fabric OS 9.1.1d7 das Problem, Version 9.2.0 ist hingegen nicht verwundbar.

Eigentlich dient Commvault Backup & Recovery der Sicherung und Wiederherstellung von Daten. Eine Sicherheitslücke im Webserver lässt sich von bösartigen Akteuren missbrauchen, um Webshells einzuschleusen und auszuführen – und das machen die tatsächlich auch im Netz. Dazu benötigen sie Zugangsdaten zu einem Konto, was die Angriffe etwas erschwert. Commvault nennt die Lücke in einer Sicherheitsmitteilung "kritisch" (CVE-2025-3928, CVSS 8.7, Risiko "hoch"). Den Fehler bügeln die Commvault-Versionen für Linux und Windows 11.36.46, 11.32.89, 11.28.141 sowie 11.20.217 aus.

Eine dritte aktiv attackierte Schwachstelle betrifft Active! Mail 6. Ein Stack-basierter Pufferüberlauf lässt sich mit sorgsam präparierten Anfragen von Angreifern ohne Authentifizierung aus dem Netz dazu missbrauchen, den Dienst lahmzulegen oder sogar Schadcode einzuschleusen (CVE-2025-42599, CVSS 9.8, Risiko "kritisch"). Die Meldung stammt vom japanischen CERT, dort dürfte die Software vorrangig auch zum Einsatz kommen. Wo die Software benötigt wird, sollte die Aktualisierung auf Version 6.60.06008562 zügig erfolgen, um die Schwachstelle auszubessern.

Wie die Angriffe aussehen, welchen Umfang sie haben oder wie sie sich erkennen lassen, teilt die CISA nicht mit. IT-Verantwortliche sollten daher die Updates so schnell wie möglich installieren, um die Angriffsfläche zu reduzieren und nicht Opfer der beobachteten Attacken zu werden.

Berichten zufolge kommt es seit dem Montagmittag zu massiven Stromausfällen in Portugal und Spanien. Millionen Menschen sind derzeit ohne Strom. Bislang nicht bestätigte Gerüchte besagen, ursächlich seien Probleme mit dem europäischen Stromnetz.

Ein derzeit in Portugal weilender heise-online-Autor bestätigt massive Stromausfälle in Lissabon: Betroffen ist der ÖPNV, etwa U-Bahnen fahren nicht mehr, Ampeln sind ausgefallen, Restaurants, Supermärkte und andere Läden haben keinen Strom. Die Pumpen fürs Trinkwasser scheinen nicht mehr zu arbeiten, da Wasser nur noch aus den Wasserhähnen tropft. Der Flughafen ist ebenfalls betroffen. Die Polizei verschafft sich demnach derzeit ein Bild der Lage.

El País berichtet, dass die spanische Regierung den Stromausfall derzeit untersucht – bislang ohne Ergebnis. Der seit etwa 12 Uhr bestehende Ausfall behindert demnach fast die gesamte Infrastruktur, Kommunikation, Bahnhöfe, Geschäfte und Gebäude. Das öffentliche Versorgungsunternehmen Red Eléctrica arbeite an der Lösung der Probleme. Der Versorger schreibt etwa auf X: "Wir beginnen damit, die Stromversorgung im Norden und Süden der Halbinsel wiederherzustellen, was für die schrittweise Versorgung mit Strom von entscheidender Bedeutung ist. Es handelt sich um einen Prozess, der mit dem allmählichen Einschalten des Übertragungsnetzes verbunden ist, wenn die Erzeugungsgruppen gekoppelt werden. Wir arbeiten weiter an der Vorbereitung der Versorgung."

Auf X postete Bloomberg-Redakteur Javier Blas eine aktuelle Grafik, die die Nachfrage im spanischen Stromnetz abbildet. Dort ist gegen 13 Uhr ein schlagartiger Nachfrageabfall von etwa 25 Gigawatt auf rund 11 Gigawatt zu sehen. Der Auslöser des Ausfalls ist bislang jedoch noch unbekannt.

Ein Live-Ticker aus Portugal gibt Einblick in die aktuelle Lage. Demnach hat der Übertragungsnetzbetreiber Redes Energéticas Nacionais (REN) den massiven Stromausfall auf der iberischen Halbinsel sowie in Teilen Frankreichs bestätigt. Pläne zur Wiederherstellung der Energieversorgung seien aktiviert worden. Der Zugverkehr der Metro in Lissabon wurde eingestellt, Fahrgäste aus den Zügen evakuiert. Die Polizei mahnt zur Vorsicht im Straßenverkehr aufgrund ausgefallener Ampeln.

Eine von Android Authority in der Android 16 Beta 4 entdeckte Funktion ist Teil einer optionalen neuen Schutzfunktion, mit der ein gezielter Angriff auf gesperrte Smartphones über den USB-Anschluss verhindert werden soll. Die Funktion dürfte sich vor allem an Nutzer und Nutzerinnen wie Journalisten oder Aktivisten richten, die auf ihren Smartphones besonders sensible Daten speichern und ins Visier von Hackern geraten könnten.

Mit der erweiterten Sicherheitsfunktion können bösartige Akteure USB-Peripheriegeräte wie Tastaturen nicht mehr mit dem gesperrten Smartphone verbinden, um die Sicherheitssperre etwa mittels Brute-Force-Angriff zu überwinden. Dieses Szenario ist nicht nur theoretischer Natur: Das Security Lab von Amnesty International hat im Februar 2025 eine Zero-Day-USB-Treiberlücke dokumentiert, die dazu verwendet wurde, in das Android-Smartphone eines Aktivisten in Serbien einzudringen.

Wie im eingebundenen Video demonstriert wird, ist es nicht möglich, Peripheriegeräte wie ein Keyboard mit aktiviertem Schutz mit dem Smartphone zu verbinden. Eine Benachrichtigung erklärt, dass das externe Keyboard erst dann verbunden werden kann, wenn das Gerät entsperrt wird.

Angreifer können an mehreren Sicherheitslücken in der Lernplattform Moodle und Systeme im schlimmsten Fall vollständig kompromittieren. Admins sollten die verfügbaren Sicherheitspatches zeitnah installieren.

Wie aus dem Sicherheitsbereich der Moodle-Website hervorgeht, haben die Entwickler in aktuellen Versionen mehrere Schwachstellen geschlossen. Drei Lücken (CVE-2025-3641, CVE-2025-3642, CVE-2025-3625) sind mit dem Bedrohungsgrad „hoch“ eingestuft.

Die ersten beiden Schwachstellen betreffen bei der Standardinstallation ausschließlich die Nutzerrollen Lehrer und Manager. Denn nur bei diesen sind standardmäßig das EQUELLA- und Dropbox-Repository aktiviert. Darin findet sich nämlich die Verwundbarkeit, an der Angreifer für Schadcode-Attacken ansetzen können. Wie solche Angriffe im Detail ablaufen könnten, ist bislang unklar. Zurzeit gibt es keine Hinweise, dass Angreifer Lücken bereits aktiv ausnutzen.

Ist es Admins nicht möglich, das Sicherheitsupdate umgehend zu installieren, können sie Systeme über eine Übergangslösung absichern, indem sie in den Einstellungen das jeweilige Repository deaktivieren.

Über die dritte Schwachstelle können Angreifer auf sensible Informationen von Schülern zugreifen und sie darin hindern, sich einzuloggen.

Nachdem die erste Schnellschuss-Version von Microsofts Künstlicher-Intelligenz-Funktion "Recall" kurz nach Start wieder gestoppt werden musste, hat Microsoft nun nachgebessert und wagt einen neuen Anlauf. Die Update-Vorschau aus dem April für Windows 11 24H2 bringt im Rahmen des schrittweisen Roll-out Recall zurück auf Copilot+-Rechner. In der EU gucken Interessierte aber noch in die Röhre.

Am späten Freitagnachmittag hat Microsoft die Update-Vorschau für Windows 11 24H2 nachgereicht, nachdem die für ältere Windows-Versionen einschließlich Windows 10 bereits kurz zuvor erhältlich war. Ursache dafür könnte sein, dass das Update für die jüngste Windows-11-Variante deutlich umfangreicher ausfällt. Sie enthält auch den KI-Assistenten Recall, der auf Copilot+-PCs regelmäßig Schnappschüsse vom Bildschirm macht und diese mittels KI dann durchsuchen kann.

In einem Blog-Beitrag preist Microsoft die neu auf Copilot+-Maschinen verfügbaren Funktionen an – und erwähnt auch einige Einschränkungen. Recall soll demnach eine Gedächtnisstütze sein und helfen, dort weiterzumachen, wo man einmal aufgehört hatte. "Sei es ein Projekt aus vergangener Woche oder einer der zahllosen Browser-Tabs, die beim Online-Shopping offen waren, wieder anzuknüpfen bedeutet oftmals, sich auf vage Erinnerungen zu verlassen, während man durch Ordner, Webseiten oder endlose E-Mails sucht", erörtert Microsoft das mit Recall zu lösende Problem.

Recall analysiert Screenshots und macht die Informationen durchsuchbar, sodass zu Suchbegriffen etwa Excel-Tabellen mit passenden Begriffen auftauchten, wie Microsoft in einem Beispiel zeigt. Die "verbesserte Windows-Suche" kann anhand von Beschreibungen in Bildern, Dokumenten und Einstellungen suchen. "Click to Do" macht mit einem Klick auf die Maustaste bei gedrückter "Windows"-Taste auf der Tastatur kontextabhängige KI-Funktionen verfügbar, etwa das Zusammenfassen oder Umschreiben von Texten oder das Kopieren von Texten und Bildern, die auf dem Bildschirm sichtbar sind – ist jedoch derzeit noch auf Snapdragon-X-PCs beschränkt.

Recall ist in der Neufassung optional, Interessierte müssen es selbst aktivieren. Einstellungen zur Inhaltsfilterung und individuelle Anpassungen über zu speichernde Inhalte sollen die Bedürfnisse für Privatsphäre berücksichtigen helfen. Sicherheitsbedenken soll die Implementierung mit der Anmeldung mittels Windows Hello, Verschlüsselung der abgelegten Daten sowie der Isolierung in Recall ausräumen. Daten verbleiben lokal und werden nicht in die Cloud geschickt und nicht mit Microsoft oder Dritten geteilt, versichert der Hersteller.

Angreifer können unter bestimmten Bedingungen an einer Sicherheitslücke in VMware Tanzu Spring Boot ansetzen und sich unrechtmäßigen Zugriff verschaffen. Mittlerweile haben die Entwickler die Schwachstelle geschlossen.

Softwareentwickler nutzen Spring Boot zum effizienteren Erstellen von Java-Applikationen. Damit Angreifer an der Lücke (CVE-2025-22235 „hoch“) ansetzen zu können, müssen aber mehrere Voraussetzungen erfüllt sein. Unter anderem muss Spring Security eingesetzt werden und mit EndpointRequest.to () konfiguriert sein.

Ist das gegeben, können Angreifer die Schwachstelle ausnutzen. Wie so ein Angriff ablaufen könnte, ist bislang unklar. In der Warnmeldung gibt es keine Hinweise, dass es bereits Attacken gibt. Admins sollten aber nicht zu lange mit der Installation des Sicherheitsupdates warten. Folgende Versionen sind den Entwicklern zufolge gegen den geschilderten Angriff gerüstet. Alle vorigen Aussagen sollen verwundbar sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Samsungs Android-Smartphones speichern in der Zwischenablage kopierte Inhalte. Im Zwischenablageverlauf finden sich gelegentlich auch alte, kopierte Passwörter. Samsung evaluiert das Problem derzeit.

Inzwischen macht der Fall eines besorgten Samsung-Nutzers in den Medien die Runde – das grundlegende Problem ist jedoch schon seit Jahren vorhanden. Wir haben kürzlich auch einen Leserhinweis mit dieser Beobachtung erhalten und können das nachvollziehen: Etwa im Verlauf des Samsung-Android-Keyboards tauchen auch Passwörter auf, die beispielsweise aus einem Passwort-Manager kopiert wurden.

Im Verlauf der Samsung-Zwischenablage finden sich alte Passwort-Einträge, wenn diese etwa mit einem Passwort-Manager zum späteren Einfügen in eine Webseite oder App kopiert wurden.

(Bild: Screenshot / dmk)

Das Problem lässt sich reproduzieren, indem Interessierte etwa bei Texteingaben das Symbol für die Zwischenablage antippen. Das zeigt einen Verlauf der Einträge an, der ziemlich weit zurückreichen kann. Da die Zwischenablage auch die Datenherkunft offensichtlich nicht berücksichtigt, können das auch sensible Daten wie Passwörter aus dem Passwort-Manager sein.

Windows verteilt die April-Update-Vorschauen für Windows 11 in den Fassungen 23H2 und 22H2 sowie für Windows 10 22H2. Wer das aktuelle Windows 11 24H2 einsetzt, guckt vorerst in die Röhre. Die Updates bringen nur kleinere Verbesserungen mit.

Microsoft nennt die Update-Vorschauen "nicht-Sicherheits-Updates", bringt jedoch die sicherheitsrelevante "Windows Kernel Vulnerable Driver Blocklist" sowohl in Windows 11, als auch in Windows 10 auf einen neueren Stand. Die dient dazu, Angriffe abzuwehren, bei denen Kriminelle eigene Treiber in verwundbaren Versionen mitbringen (BYOVD) – einmal auf der Liste gelandet, verweigert der Windows-Kernel das Laden dieser Treiber.

Das Öffnen von Excel-Dateien, die auf SMB-Freigaben liegen und Links auf andere Excel-Dateien enthalten, öffnet Windows 11 nach der Aktualisierung schneller. Im Zusammenspiel von Intel Core Ulta-Prozessoren der 200V-Baureihe löst das Update zudem Probleme mit dem USBxHCI-Controller, wodurch unter anderem die Anmeldung mit integrierten USB-Kameras in Windows Hello nicht funktionierte. Gamer profitieren davon, dass nun Xbox-Elite-Wireless-Controller mit bestimmten Firmware-Versionen wieder funktionieren.

Schrittweise verteilt Microsoft mit dem Update KB5055629 (Windows-Builds 22621.5262 und 22631.5262) dann Änderungen etwa für den Datei-Explorer, der auf "Explorer Home" eine Zusammenstellung von Microsoft-365-Inhalten anzeigt – das soll die Produktivität erhöhen. Das Entpacken von ZIP-Dateien soll schneller werden, insbesondere, wenn die Archive viele kleine Dateien enthalten. Mit neuen Tastenkombinationen soll sich die Sprachausgabe besser nutzen lassen, etwa eine "sprachbezogene Zusammenfassung" gesprochener Inhalte erhalten oder Live-Transkription verfolgen.

Die verbesserte Integration mit Smartphone-Link landet damit nun in den Windows-Release-Fassungen, sodass sich aus dem Startmenü etwa Telefonanrufe starten, SMS-Nachrichten senden, auf Fotos zugreifen oder Inhalte zwischen Desktop und Smartphone teilen lassen. Eine weitere Erleichterung verspricht die neue Option, "Last Minute" vor dem Teilen von Inhalten auf dem "Share Sheet" Änderungen vorzunehmen, etwa Drehungen oder Zuschneiden von Bildern.

Die Remote-Desktop-Software Screenconnect von Connectwise enthält eine Sicherheitslücke, die Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht. Der Hersteller bietet Software-Updates zum Schließen des Sicherheitslecks an.

In einer Sicherheitsmitteilung warnt Connectwise vor der Schwachstelle. Ein CVE-Schwachstelleneintrag fehlt bislang, aber die Beschreibung lautet, dass eine sogenannte ViewState-Code-Injection-Schwachstelle Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht; die Risikobewertung liefert einen CVSS-Wert von 8.8, Risiko "hoch", und verpasst die Einstufung als kritisch somit nur knapp. Web-Forms in ASP.NET nutzen ViewState für das Speichern und Kontrollieren des Zustands einer Webseite. Die dafür nötigen Daten kodiert das System mit Base64 und schützt es mit Verschlüsselung mit maschinenweiten Keys.

Um an diese Maschinen-Keys zu gelangen, müssen Angreifer zunächst erhöhte Zugriffsrechte erlangen, erklärt Connectwise weiter. Sofern die Maschinen-Keys kompromittiert sind, können Angreifer bösartige ViewStates für die Webseite generieren und damit Schadcode aus dem Netz auf dem Server ausführen.

Das Update auf Screenconnect 25.2.4 oder neuer stopft das Sicherheitsleck, es ist etwa auf der Download-Seite von Connectwise verfügbar. Es deaktiviert ViewState schlicht und entfernt die Abhängigkeiten davon. Die Sicherheitsmeldung liefert noch weitere Hinweise, etwa zur Versionsprüfung oder wie die Aktualisierung von On-Premises-Systemen mit und ohne aktiver Maintenance ablaufen. IT-Verantwortliche sollten aufgrund des Schweregrads der Lücke die Aktualisierung schnell anwenden.

Ende Februar 2024 haben Kriminelle eine Sicherheitslücke in Connectwise Screenconnect missbraucht und darüber Ransomware verteilt. Kurz zuvor tauchte im Internet Proof-of-Concept-Exploitcode auf. Die Schwachstelle hatte jedoch die Einstufung als kritisches Risiko mit der Höchstwertung CVSS 10.0 erhalten.

Besitzer einer Nvidia-Grafikkarte sollten zeitnah den GPU-Treiber aus Sicherheitsgründen auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter Linux an mehreren Schwachstellen ansetzen und Computer attackieren. Außerdem gibt es noch abgesicherte Versionen von Cloud Gaming und vGPU-Software unter Windows.

In einem Beitrag listen die Entwickler die Lücken auf. Am gefährlichsten gilt eine Schwachstelle (CVE-2025-23244 „hoch“) im Treiber für Linux-Systeme. An dieser Stelle kann ein Angreifer ohne Authentifizierung ansetzen und im schlimmsten Fall Schadcode ausführen. Im Anschluss gelten Systeme in der Regel als vollständig kompromittiert. Wie so ein Angriff konkret ablaufen könnte und ob es bereits Attacken gibt, ist bislang unbekannt. Unklar bleibt auch, wie man ein bereits angegriffenes System erkennen kann.

Zwei weitere Sicherheitslücken (CVE-2025-23245 „mittel“, CVE-2025-23246 „mittel“) bedrohen Linux und Windows. Ansatzpunkt ist die vGPU-Software. Hier ist der Virtual GPU Manager (vGPU plugin) verwundbar. Eine erfolgreiche Attacke führt zu Denial-of-Service-Zuständen. So etwas resultiert in der Regel in Abstürzen von Diensten und Software.

Nvidia gibt an, die Lücken in den folgenden Versionen für Linux und Windows geschlossen zu haben. In der Warnmeldung schreiben die Entwickler von verwundbaren Windows-vGPU-Software-Versionen, bei den gefixten Versionen ist aber nur die Rede von Windows Server (siehe unten):

Linux GPU-Treiber:

Für gewöhnlich können sich IT-Verantwortliche auf einen monatlichen Zeitplan zum Installieren von SAP-Sicherheitsupdates einstellen. Kurz vor dem Wochenende ist das dieses Mal anders: Der Walldorfer Software-Konzern stopft eine kritische Sicherheitslücke mit Höchstwertung CVSS 10 von 10 außer der Reihe. Admins sollten zügig aktiv werden.

SAP hat im Laufe des Donnerstags eine Schwachstellenmeldung herausgegeben. "SAP NetWeaver Visual Composer Metadata Uploader wird nicht von einer ordentlichen Autorisierung geschützt, was nicht authentifizierten Angreifern erlaubt, potenziell bösartige ausführbare Binärdateien hochzuladen, die das System stark schädigen können", schreiben die Entwickler des Unternehmens dort (CVE-2025-31324, CVSS 10.0, Risiko "kritisch").

Weitergehende Details nennt SAP nicht, auch nicht auf der aktualisierten Übersichtsseite zum April-Patchday, die um den Eintrag länger wurde. Es finden sich dort jedoch noch zwei aktualisierte Sicherheitsnotizen, die seit der Erstveröffentlichung vor rund zwei Wochen nötig wurden, und zwei weitere Sicherheitsmitteilungen außer der Reihe. Die behandeln jedoch Sicherheitslücken in SAP S/4 HANA und SAP Field Logistics, die lediglich einen mittleren Bedrohungsgrad haben.

IT-Verantwortliche mit verwundbaren SAP-Netweaver-Instanzen sollten die bereitgestellten Aktualisierungen umgehend anwenden. Sie sind für registrierte Admins auf den ihnen bekannten Wegen erhältlich.

Der April-Patchday findet regulär am zweiten Dienstag eines Monats statt. Im April hatte SAP dort 18 Sicherheitsmitteilungen zu Schwachstellen in diversen Produkten veröffentlicht. Bereits davon galten einige als kritisches Risiko, jedoch erreichte keines der Sicherheitslecks die schlimmstmögliche Einstufung mit einem CVSS-Wert von 10 (von 10 maximal möglichen Punkten).

WhatsApp bekommt eine neue Funktion, die besseren Schutz der Privatsphäre ermöglichen soll: "Advanced Chat Privacy". Sensible Gespräche und Informationen sollen dabei zwischen den Konversationsteilnehmern verbleiben und nicht geteilt werden können.

WhatsApp bekommt eine neue Option "Advanced Chat Privacy" für Chats.

(Bild: Meta)

In einem Blog-Beitrag erklärt WhatsApp die neue Funktion. Demnach basiere die Privatsphäre auf Ende-zu-Ende-Verschlüsselung (End-to-End-Encryption, E2EE) persönlicher Nachrichten und Anrufe, sodass nur Sender und Empfänger sie sehen, hören oder teilen können. Darauf habe WhatsApp weitere Schichten von Privatsphäre gepfropft, etwa "selbstlöschende Nachrichten" oder "Chatsperre", einem Passwortschutz für Chats.

Jetzt soll mit "Advanced Chat Protection" eine Art Kopierschutz für Chats hinzukommen. Die Einstellung der erweiterten Privatsphäre soll sowohl für Chats als auch in Gruppen verfügbar werden. Sie unterbindet, dass andere Inhalte aus den Chats aus WhatsApp heraustragen, wenn ein Quäntchen mehr Privatsphäre gewünscht ist.

Die Umsetzung von SSH in Erlang/OTP SSH enthält eine kritische Sicherheitslücke mit Höchstwertung: CVSS-Wert 10 von 10. Die Lücke ist leicht zu attackieren, Exploit-Code kursiert bereits im Netz. Nun wird langsam auch klar, welche Systeme davon betroffen sind – am weitesten verbreitet sind sicherlich OpenSSH und Abkömmlinge davon. In großen Umgebungen findet sich jedoch öfter auch Erlang/OTP SSH.

Die IT-Sicherheitsforscher von Arctic Wolf haben eine Übersicht zusammengetragen, in der sich betroffene Hersteller und Produkte finden. Etwa der Netzwerkausrüster Ericsson setzt in seinen Produkten Erlang/OTP SSH ein, die für fehlertolerante, verteilte Anwendungen gedacht sind, etwa Switches wie AXD301. Eine Übersicht von Ericsson zu betroffenen Produkten und Hilfestellung beim Umgang mit der Lücke gibt es demnach noch nicht.

Cisco untersucht derweil noch, welche Systeme betroffen sind, und hat eine Sicherheitsmeldung dazu veröffentlicht – das Unternehmen will sie stetig mit neuen Erkenntnissen aktualisieren. Dort listet Cisco bislang ConfD und ConfD Basic, Network Services Orchestrator als verwundbar auf und verspricht fehlerkorrigierte Software im Mai 2025. Ebenfalls anfällig sind Smart PHY sowie Intelligent Node Manager und Ultra Cloud Core (Subscriber Microservices Infrastructure). Es sind inzwischen auch viele Systeme als nicht betroffen identifiziert worden, etwa IOS, IOS XE, IOX XR, SD-WAN, ISE und weitere.

Zu den weiteren verwundbaren Anbietern gehört nach jetzigem Stand EMQ Technologies. Nicht standardmäßig installiert, aber optional verfügbar ist Erlang/OTP SSH bei National Instruments, Broadcom (insbesondere RabbitMQ), Very Technology, Apache (CouchDB) und Riak Technologies. Hier müssen Admins prüfen, ob sie Erlang/OTP SSH installiert haben und gegebenenfalls die verfügbaren Aktualisierungen installieren.

Dass die Schwachstelle in Erlang/OTP SSH kritisch und einfach angreifbar ist, war bereits bekannt. Die Entdecker der Lücke von der Ruhr-Universität Bochum hatten Details zu der Lücke veröffentlicht. Bislang war jedoch nicht klar, wo die Software tatsächlich eingesetzt wird und welche Systeme daher bedroht sind.

In Sonicwalls Firewall-Betriebssystem SonicOS klafft eine Sicherheitslücke im SSLVPN. Angreifer können die Firewall abstürzen lassen und so eine Denial-of-Service-Situation provozieren. Sonicwall stellt Updates bereit, die die Lücke ausbessern.

Sonicwall hat eine Sicherheitsmitteilung veröffentlicht, in der das Unternehmen vor der Schwachstelle warnt. Im "Virtual office interface" des SonicOS SSLVPN kann unter nicht genauer genannten Umständen eine sogenannte Null-Pointer-Dereferenz auftreten, also der Code versuchen, bereits freigegebene Ressourcen erneut freizugeben. Das führt in der Regel zum Absturz der Software, wie auch in diesem Fall – und lässt sich glücklicherweise offenbar nicht missbrauchen, um Schadcode einzuschleusen und auszuführen.

Das können Angreifer aus dem Netz verursachen, ohne vorherige Authentifizierung, wie Sonicwall in der Schwachstellenbeschreibung erklärt (CVE-2025-32818, CVSS 7.5, Risiko "hoch"). Die Schwachstelle bessern die aktualisierten Firmware-Versionen für die betroffenen Geräte der Gen7 NSv-Reihe, konkret NSv 270, NSv 470, NSv 870, sowie für die Gen7 Firewalls TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W,TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700 und NSsp 15700 in Version 7.2.0-7015 und neuer sowie für die TZ80 in Fassung 8.0.1-8017 oder neuer aus.

Nicht betroffen sind hingegen SonicOS GEN6 und GEN7 mit 7.0.x-Firmware-Versionen, erörtert der Hersteller.

Sicherheitslücken in Sonicwall-Produkten sollten IT-Verantwortliche nicht auf die leichte Schulter nehmen, sondern angebotene Sicherheitsupdates so zeitnah wie möglich installieren. Immer wieder werden Angriffe auf Schwachstellen in Sonicwall-Geräten bekannt, so etwa auch vergangene Woche. Dort haben Kriminelle Schwachstellen in der SMA100-Serie des Herstellers angegriffen. Die wurde bereits im Jahr 2021 bekannt und seitdem stehen Aktualisierungen bereit, die die Lücke stopfen. Offenbar sind jedoch einige Admins bei Sonicwall-Firewalls nachlässig.