Comretix Blog

AMD spendiert jüngeren Prozessoren Peripherie zum beschleunigten Rechnen für Künstliche Intelligenz, was das Unternehmen als Ryzen AI bezeichnet. Die zugehörige Software und Treiber weisen hochriskante Sicherheitslücken auf. Betroffene sollten zügig die aktualisierte Software installieren, die AMD bereitstellt.

In einer Sicherheitsmitteilung vom Mittwoch warnt AMD vor den Schwachstellen. Insgesamt vier Sicherheitslecks klaffen in der KI-Software. Die gravierendsten Schwachstellen finden sich im NPU-Treiber (Neural Processing Unit) von AMD. Bei allen dreien handelt es sich um Ganzzahl-Überläufe (Integer Overflow), was Angreifern ermöglicht, außerhalb vorgesehener Speichergrenzen zu schreiben und so offenbar etwa Schadcode auszuführen – AMD beschreibt lediglich die Auswirkung der Lücke als "Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit" (CVE-2024-36336, CVE-2024-36337, CVSS 7.9, Risiko "hoch"; sowie CVE-2024-36328, CVSS 7.3, Risiko "hoch").

Entwickler, die KI-Software mit dem SDK Ryzen AI Software entwickeln, sind zudem anfällig für eine Schwachstelle, die Angreifern die Ausweitung ihrer Rechte und die Ausführung beliebigen Codes ermöglicht. Ursache dafür sind falsch gesetzte Standardberechtigungen im Installationspfad der Ryzen AI Software (CVE-2025-0014, CVSS 7.3, Risiko "hoch").

Aktualisierte Software und Treiber stopfen die Sicherheitslecks. Auf der Ryzen-AI-Webseite von AMD stehen für beide Komponenten Updates bereit. Der aktuelle NPU-Treiber lässt sich mit einem Konto bei AMD und dem Abnicken einer Lizenzvereinbarung herunterladen.

Die Installation des Treiber-Updates an der administrativen Eingabeaufforderung.

Eine gemeinnützige Organisation aus den USA will im Rahmen eines Versuchs Belohnungen für die Entdeckung und verantwortungsvolle Offenlegung von Sicherheitslücken in Software des Fediverse bezahlen. Wie die Nivenly Foundation sollen an Individuen, je nach Schweregrad der gefundenen Lücken, 250 oder 500 US-Dollar bezahlt werden. Insgesamt stehen dafür bis Ende September 5000 US-Dollar zur Verfügung. Danach soll entschieden werden, ob und wie das Programm fortgeführt werden soll. Von dem Experiment sollen Projekte wie Mastodon, Pixelfed, Peertube, Misskey, Lemmy, Diaspora und andere profitieren.

Der Versuch geht auf den Fund einer Sicherheitslücke bei Pixelfed zurück, für deren Behebung die Organisation bereits Geld bezahlt hat, berichtet TechCrunch. Erst vor wenigen Tagen hat sich der Pixelfed-Entwickler Daniel Supernault öffentlich für den Umgang mit einer weiteren Lücke entschuldigt, die er zwar rasch geschlossen habe, dabei aber nicht richtig vorgegangen sei. Ein Ziel des Experiments der Nivenly Foundation sei es deshalb auch, den Verantwortlichen für Fediverse-Software dabei zu helfen, etablierte Praktiken beim Umgang mit Sicherheitslücken zu befolgen. Die Voraussetzungen für die Teilnahme an dem Versuch hat die Organisation in einem Text zusammengefasst.

Als Fediverse wird ein Verbund aus unterschiedlichen sozialen Netzwerken bezeichnet, die über das Kommunikationsprotokoll ActivityPub verknüpft sind. Als bekanntester Teil hat sich in den vergangenen Jahren der Kurznachrichtendienst Mastodon etabliert, der sich am alten Twitter orientiert. Es gibt aber auch Dienste, die wie das frühere Instagram Fotos in den Mittelpunkt stellen (Pixelfed), einen sozialen Austausch wie auf Facebook (Friendica) ermöglichen sollen oder eine Alternative zu Reddit etablieren wollen (Lemmy). Für die Software sind meist kleine Teams oder Einzelpersonen verantwortlich, denen die Nivenly Foundation nun unter die Arme greifen will.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Eigentlich sollen Trend Micros IT-Schutzlösungen Apex Central und Deep Security Agent Computer vor Cyberattacken bewahren. Aufgrund mehrerer Sicherheitslücken in den Windows-Versionen können sie aber nun als Einfallstor für Angreifer dienen. Admins sollten die verfügbaren Sicherheitspatches zeitnah installieren. Noch gibt es keine Berichte über Attacken.

Aus einer Warnmeldung geht hervor, dass Apex One über drei Schwachstellen (CVE-2025-30678 "mittel", CVE-2025-30679 "mittel", CVE-2025-30680 "hoch") attackierbar ist. Mittels Server-side-Request-Forgery-Attacken (SSRF) können Angreifer über präparierte Anfragen unbefugt auf interne Ressourcen zugreifen. Wie so eine Attacke im Detail ablaufen könnte und welche konkreten Daten gefährdet sind, führen die Entwickler derzeit nicht aus.

Die Entwickler versichern, die Lücken in Apex Central (on-prem) Build 6955 und in Apex Central (SaaS) March 2025 Monthly Maintenance Release geschlossen zu haben.

Deep Security Agent ist in der Version 20.0 über drei Lücken (CVE-2025-30640 "hoch", CVE-2025-30641 "hoch", CVE-2025-30642 "mittel") angreifbar, führen die Entwickler in einem Beitrag aus. Damit Attacken möglich sind, benötigt ein Angreifer aber bereits niedrige Rechte auf einem Zielsystem. Ist das gegeben, kann er sich höhere Nutzerrechte aneignen oder DoS-Zustände auslösen.

Auch hier gibt es bislang keine Hinweise auf laufende Attacken. Admins sollten mit der Installation der abgesicherten Ausgabe 20.0.1-25770 aber nicht zu lange zögern.

Eine schwerwiegende Sicherheitslücke in Apache Tomcat ermöglicht Angreifern, Schadcode einzuschleusen. Das machen Angreifer derzeit auch – höchste Zeit für IT-Verantwortliche, die verfügbaren Sicherheitsupdates anzuwenden.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor den beobachteten Angriffen auf die Schwachstelle. Wie üblich erörtert sie jedoch nicht bezüglich Art und Umfang der Attacken. Es ist daher derzeit unklar, wie Admins erkennen können, ob ihre Systeme angegriffen oder sogar kompromittiert wurden.

Die Schwachstelle findet sich in der Verarbeitung von partiellen PUT-Anfragen. Ursache ist ein intern verwendeter Punkt in einem Dateipfad, erörtern die Apache-Tomcat-Entwickler in einer eigenen Sicherheitsmitteilung. "Die ursprüngliche Implementierung von partiellem PUT verwendete eine temporäre Datei, die einen vom Benutzer angegebenen Dateinamen und -pfad verwendete, wobei das Pfad-Trennzeichen durch einen Punkt '.' ersetzt wurde", fassen sie das Problem dort zusammen (CVE-2025-24813, CVSS 9.8, Risiko "kritisch").

Die Entwickler geben als Lösung an, dass Admins auf die fehlerkorrigierten Apache-Tomcat-Versionen 9.0.99, 10.1.35 sowie 11.0.3 oder neuere aktualisieren sollen. Das dichtet die Sicherheitslecks ab.

Ein Exploit wurde vor etwa drei Wochen veröffentlicht, der den Missbrauch der Schwachstelle demonstriert. Ob die beobachteten Angriffe auf Apache-Tomcat-Server darauf fußen, ist jedoch unklar. Admins sollten die verfügbaren Software-Updates jedoch umgehend installieren, sofern das noch nicht geschehen ist.

In dem beliebten, weil preisgünstigen Roboterhund Unitree Go1 klaffen zwei Sicherheitslücken. Angreifer könnten sie dazu nutzen, um den Roboter zu übernehmen und aus der Ferne zu steuern. Bei einigen Einsatzzwecken, wie etwa militärischen Anwendungen, wäre das fatal.

Der Roboterhund Go1 ist aufgrund seines niedrigen Preises ab etwa 2700 US-Dollar ein beliebter vierbeiniger Roboter und wird gerne zu Forschungszwecken verwendet. Aber auch das Militär hat seinen Wert erkannt, wie etwa das U.S. Marine Corps, das den Roboter im Jahr 2023 testweise mit einem Maschinengewehr ausgestattet hat, um mit ihm gepanzerte Fahrzeuge aus der Ferne zu bekämpfen und ihn in urbanen Gebieten für den Orts- und Häuserkampf zu verwenden.

Der Go1 benutzt einen Raspberry Pi für einen Teil der Robotersteuerung. Beim Booten stellt er eine Verbindung zu dem Fernwartungsdienst Cloudsail über einen automatischen Start her. Mit einem API-Schlüssel des Herstellers ist darüber ein Zugriff auf den Roboter möglich, sofern der Schlüssel den Angreifern bekannt ist. Die Steuerung des Roboters kann so über diese Backdoor übernommen werden, wie ein Sicherheitsspezialist in einem Video auf GitHub zeigt. Besitzer des Go1 wissen von diesem undokumentierten aktiven Fernwartungsdienst nichts. Die Sicherheitslücke ist mit dem Schweregrad "mittel" ausgewiesen und hat den Wert 6.6, steht also kurz vor einem hohen Schweregrad ab 7 (CVE-2023-2894).

Bereits im Dezember 2023 hat ein Sicherheitsforscher auf diese Sicherheitslücke via X aufmerksam gemacht. Unitree hat darauf sehr spät reagiert und den API-Schlüssel mehr als ein Jahr später zurückgenommen. Security-Spezialisten der Austin Hackers Association (AHA) empfehlen jedoch, den Cloudsail-Dienst auf dem Go1 komplett abzuschalten. Denn auf dem verwendeten Raspberry Pi kann ein Zugriff über eine weitere Backdoor erfolgen. Mit dem Benutzernamen "pi" und dem Passwort "123", die allgemein bekannt sind, ist dann der Zugang möglich. Eine Änderung der Zugangsdaten als Abhilfe ist dagegen wenig hilfreich. Dies soll dazu führen, dass einige Skripte auf den Roboterhund, die auf das Passwort angewiesen sind, nicht korrekt ausgeführt werden. Der Go1 funktioniert dann nicht einwandfrei.

Das Problem ist derzeit ausschließlich für den Roboterhund Unitree Go1 nachgewiesen. Unitree hat bereits den Nachfolger Go2 auf den Markt gebracht. Bisher ist nicht bekannt, ob dieser Roboter die gleichen Probleme aufweist.

Das kanadische IT-Unternehmen Blackberry meldet schrumpfende Umsätze. Im Ende Februar abgeschlossenen Finanzjahr 2025 hat Blackberry 535 Millionen US-Dollar umgesetzt, fast 30 Prozent weniger als im Finanzjahr davor. Im Laufenden soll es jedenfalls nicht mehr werden, das Management prophezeit einen weiteren Rückgang auf 504 bis 534 Millionen Dollar.

Weil Finanzanalysten deutlich andere Erwartungen hatten, wurde die Blackberry-Aktie nach Bekanntgabe der Finanzzahlen am Mittwoch abgestraft. Zwischenzeitlich lag der Kurs mehr als 20 Prozent unter dem Vortagesschluss, zum Handelsschluss stand immer noch ein Minus von über neun Prozent zu Buche. Es ist der erste Jahresbericht, für den Blackberry-CEO John J. Giamatteo zur Gänzeverantwortlich ist.

Blackberry (vormals Research in Motion, RIM) ist schon lange nicht mehr im Smartphone-Geschäft, sondern hat zwei Geschäftsbereiche: Software für das Internet der Dinge samt vernetzten Kraftfahrzeugen (QNX) sowie Software für IT-Sicherheit (Secure Communications). Zusätzlich lizenziert die Firma ihr Portfolio aus Immaterialgüterrechten.

Die Lizenzeinnahmen sind besonders stark betroffen. Der Jahresumsatz ist um 90 Prozent auf 26,3 Millionen Dollar eingebrochen. Für das laufende Jahr erwartet Blackberry um die 24 Millionen Dollar, also noch einmal rund ein Zehntel weniger.

Der Umsatz mit IT-Sicherheitslösungen ist um vier Prozent auf 272,6 Millionen Dollar gefallen. Der Trend verstärkt sich, nicht zuletzt, weil Blackberry im Dezember die Tochterfirma Cylance verkauft hat, aber auch weil viele Kunden den Sparstift gerade bei der IT-Sicherheit ansetzen. 230 bis 240 Millionen Dollar Umsatz sollen es im Finanzjahr 2026 werden.

Experten stellen dem deutschen Gesundheitswesen oft ein schlechtes Zeugnis bei der IT-Security aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in einer jetzt veröffentlichten Bestandsaufnahme des Jahres 2024 zu einem anderen Schluss: Insgesamt sei “das Niveau der Informationssicherheit im digitalen Gesundheitswesen grundsätzlich als positiv zu bewerten". Und das, "obwohl die Gefährdungslage für Digitalisierungsprojekte" zugenommen habe.

"Herausfordernd" sei das vergangene Jahr angesichts der laufenden Digitalisierung des Gesundheitssystems aber schon gewesen, räumt das BSI ein. So war das BSI etwa an der Entwicklung der Sicherheitsarchitektur für die ePA beteiligt. Dabei sei es – teils zusammen mit der für die Telematik-Infrastruktur (TI) zuständigen Gematik – allen Meldungen zu möglichen Schwachpunkten nachgegangen. Dies habe etwa zu Anpassungen in den Spezifikationen geführt.

Auf dem Jahreskongress des Chaos Computer Clubs (CCC) im vergangenen Dezember hatten Sicherheitsforscher diverse Sicherheitsmängel bei der elektronischen Patientenakte (ePA) aufgezeigt. Diese sind in dem vorliegenden Bericht aber nicht berücksichtigt.

Die Sicherheit klassischer Medizinprodukte bewegt sich laut dem Report "auf einem gleichbleibend hohen Niveau", auch wenn eine Untersuchung von Krankenhausinformationssystemen dort gerade Probleme ausgemacht hat. Ein nur schwierig einschätzbarer Bereich ist der Bonner Behörde zufolge die Sicherheit der knapp 140.000 Arztpraxen in Deutschland. Dies liege an der breiten Heterogenität der IT-Ausstattung sowie an nicht vorhandenen standardisierten Meldewegen für Sicherheitsvorfälle.

Dass für Praxen keine einheitliche Hard- und Software beschafft werde, sei prinzipiell von Vorteil für die IT-Sicherheit, stellen die Autoren fest. Entdeckte Sicherheitslücken seien so kaum übertragbar. Zugleich erforderte der bunte IT-Salat aber "ein breites IT-sicherheitstechnisches Verständnis in der jeweiligen Arztpraxis".

Ermittlern ist ein Schlag gegen eine internationale Plattform zur Verbreitung pädokrimineller Inhalte gelungen: Die Darknet-Streamingseite "Kidflix" ist offline. Dort boten Kriminelle gegen Bezahlung mit Kryptowährungen über 90.000 Videos an. Das Dezernat Cybercrime beim Bayerischen LKA hat die Plattform mit Unterstützung internationaler Kollegen abgeschaltet. Weltweit wurden in der "OP Stream" 1400 Verdächtige identifiziert und 79 Personen festgenommen.

Der koordinierte Schlag gegen die Nutzer der Plattform begann am 10. März 2025 mit weltweiten Durchsuchungen, Beschlagnahmungen und Festnahmen – allein zwölf Tatverdächtige wohnen in Bayern. Einen Tag später, am 11. März, beschlagnahmten niederländische Ermittler den Kidflix-Server, der zu diesem Zeitpunkt 72.000 Videos anbot.

Zwar stellten die Strafverfolger Datenträger, Mobiltelefone, PCs und andere Tatmittel sicher, konnten die Administratoren von Kidflix jedoch noch nicht dingfest machen. Diese hatten rund um kinderpornographische Videos ein Geschäftsmodell aufgebaut: Zwar gab es auch Gratis-Videos, doch hochauflösendes Material stand nur gegen Bezahlung zur Verfügung. In einer beschlagnahmten Krypto-Wallet fanden die Ermittler nach Spiegel-Informationen Guthaben im Gegenwert von fast 200.000 Euro.

Neben der Fahndung nach den Kidflix-Admins steht nun der Opferschutz im Mittelpunkt: Neben dem BLKA arbeiten auch das Bundeskriminalamt (BKA) und Europol daran, möglichst viele der minderjährigen Opfer zu identifizieren und vor weiterem Mißbrauch zu schützen. Erste Erfolge haben sie bereits erzielt: So ging in den USA ein Verdächtiger ins Netz, der ein ihm bekanntes Kind mehrfach mißbraucht haben soll.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Google hat am Dienstag den Geburtstag des E-Mail-Dienstes Gmail gefeiert und in diesem Rahmen angekündigt, dass Enterprise-User ab jetzt vereinfacht Ende-zu-Ende-verschlüsselte E-Mails verschicken können. Und zwar nicht nur an Nutzer aus der eigenen Organisation, sondern an alle. Zunächst handelt es sich noch um einen Beta-Test. Der dürfte aber bald ausgeweitet werden und in finale Entwicklungsstadien übergehen.

In einem Blog-Beitrag zu Google Workspace erörtern zwei Produkt-Manager von Google die Neuerungen. Ende-zu-Ende-Veschlüsselung (End-to-end-encryption, E2EE) ist bislang komplex und verschlingt einige Ressourcen in IT-Abteilungen, die sich etwa mit S/MIME, der Einrichtung und Schlüsselverwaltung herumplagen müssen. Google will E2EE jetzt deutlich vereinfacht und Hürden gesenkt haben. Im Ergebnis können Enterprise-User ab jetzt an alle Empfänger, seien es andere Gmail-Nutzer oder solche mit externen Mail-Providern, voll verschlüsselte E-Mails senden, mit nur wenigen Klicks.

Trotz des gesunkenen Aufwands bleibe die Sicherheit erhalten, erörtern die Autoren. Die neue Funktion wird als Beta-Test phasenweise verteilt. Zunächst ist es damit möglich, E2EE-Mails an andere Nutzer der eigenen Organisation zu schicken. Dann folgt in einigen Wochen die Möglichkeit, an beliebige Gmail-Nutzerinnen und -Nutzer Ende-zu-Ende-verschlüsselte E-Mails zu senden. Später im Jahr sollen Nutzer schließlich E-Mails mit E2EE an jeden Empfänger schicken können.

Laut Google wollen Firmen E2EE-E-Mails verschicken, hätten jedoch wenige Ressourcen zur Umsetzung. S/MIME ist ein standardisiertes Protokoll dafür, erfordert jedoch den Kauf und die Verwaltung von Zertifikaten und das Zuteilen zu den einzelnen Nutzern. Endnutzer müssten zudem herausfinden, ob Empfänger S/MIME konfiguriert haben, und schließlich auch noch Zertifikate mit ihnen austauschen – fehleranfällig und frustrierend, schreiben die Google-Mitarbeiter. Alternativen zu S/MIME wie proprietäre Lösungen von Mail-Anbietern wären ebenfalls kompliziert, erforderten Schlüsseltausch und so weiter.

Die Lösung von Google soll viel einfacher sein. Mit nur wenigen Klicks verschlüsselt Google die E-Mails, egal, an wen sie gehen, ohne Schlüsseltausch oder zusätzliche Software. Die Schlüssel bleiben unter der Kontrolle der Nutzer und stehen den Google-Servern nicht zur Verfügung; die IT-Abteilung muss sich aber auch nicht um S/MIME-Konfiguration oder Zertifikatsverwaltung kümmern.

Wer Datenverkehr in Netzwerken mit Zabbix überwacht, sollte aus Sicherheitsgründen eine aktuelle Version des Tools installieren. Sonst könnten Angreifer im schlimmsten Fall Schadcode ausführen, um Systeme zu kompromittieren.

Den Entwicklern zufolge wurde der Großteil der Schwachstellen über das Bug-Bounty-Programm von Hackerone eingereicht. Ausführlichere Informationen zu den Lücken finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen. Dort sind auch die konkret bedrohten Ausgaben des Netzwerkmonitoringtools aufgeführt.

Am gefährlichsten gilt eine Schwachstelle (CVE-2024-36465 "hoch") in Zabbix API. Hier könnte ein Angreifer mit einem regulären Nutzerkonto ansetzen, um eigene SQL-Befehle auszuführen. Außerdem sind Reflected-XSS-Attacken (CVE-2024-45699 "hoch") möglich. Über diesen Weg können Angreifer Schadcode in Form einer JavaScript-Payload ausführen.

Darüber hinaus sind noch DoS-Attacken (CVE-2024-45700 "mittel") und unberechtigte Zugriffe möglich (CVE-2024-36469 "niedrig", CVE-2024-42325 "niedrig").

Diese Versionen sind gegen die geschilderten Attacken gerüstet. Noch gibt es keine Berichte zu aktiven Angriffen.

Einrichtungen des Gesundheitswesens sind vermehrt Cyberbedrohungen ausgesetzt. Das betrifft längst nicht mehr nur Krankenhäuser, sondern ebenso die kleineren ambulanten Leistungserbringer bis hin zur örtlichen Hausarztpraxis. Auch der Gesetzgeber hat das 2019 erkannt und mit dem Digitale-Versorgung-Gesetz eine Vorschrift zur "IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung" eingeführt. Sie ist heute im § 390 SGB V (Fünftes Sozialgesetzbuch) zu finden. Der Gesetzgeber hat dort die Kassenärztlichen und Kassenzahnärztlichen Bundesvereinigungen (KBV und KZBV) dazu verpflichtet, die Anforderungen zur Gewährleistung der IT-Sicherheit in einer Richtlinie zu konkretisieren. Die KBV hat ihre Richtlinie nun am 1. April 2025 aktualisiert.

Die ersten KBV- und KZBV-Richtlinien wurden 2020 veröffentlicht. Der gesetzlich vorgeschriebene Überarbeitungsturnus von zwei Jahren wurde bislang nicht eingehalten. Erst am 1. April 2025 wurde die Überarbeitung der KBV-Richtlinie veröffentlicht, die in weiten Teilen aber bereits ab dem Folgetag gilt. Für die neu hinzugekommenen Anforderungen räumt die Richtlinie eine Vorbereitungszeit ein – die betroffenen Praxen haben bis zum 1. Oktober 2025 Gelegenheit, diese umzusetzen. Die Erneuerung der KZBV-Richtlinie ist auch demnächst zu erwarten.

Die KBV-Richtlinie enthält insgesamt fünf Anlagen mit umfangreichen Detailregelungen, die den Stand der Technik in der IT-Sicherheit wiedergeben sollen. Nur wenige Leistungserbringer müssen jedoch sämtliche Anlagen beachten – welche Anlagen ein Leistungserbringer tatsächlich befolgen muss, richtet sich nach seiner Größe. Alle Leistungserbringer haben dabei die Basis-Anforderungen der Anlage 1 sowie die Anforderungen an die Telematik-Infrastruktur der Anlage 5 einzuhalten. Für mittlere und große Praxen sowie bei Nutzung von Großgeräten gelten auch die weiteren Anlagen.

Die neue KBV-Richtlinie legt einen verstärkten Fokus auf den Sicherheitsfaktor "Mensch". Unabhängig von ihrer Größe sollen Praxen gezielte Maßnahmen zur Sensibilisierung ihrer Mitarbeitenden für die IT-Sicherheit ergreifen und so die "Security-Awareness" steigern. Die KBV-Richtlinie nimmt hierfür die Praxisleitung in die Pflicht, von der ein gesteigertes Bewusstsein für Sicherheitsfragen verlangt wird. Ihr kommt eine Vorbildfunktion zu: Die Praxisleitung muss sämtliche Schulungsmaßnahmen und Sicherheitskampagnen unterstützen.

Besondere Bedeutung misst die neue KBV-Richtlinie zudem der Bildung von IT-Kompetenzen zu. Mitarbeitende und auch externe Benutzer sind in den sicheren Umgang mit IT-Komponenten einzuweisen und für Risiken zu sensibilisieren. Mitarbeitende sollen zudem hinsichtlich ihrer Aufgaben und Verantwortlichkeiten in Informationssicherheitsthemen geschult werden. Zusätzlich empfiehlt es sich, dass sich auch die Leitungsebene selbst über Schulungen die Fachkenntnisse in diesem Bereich sichert, um ihren Aufgaben nachkommen zu können – die Richtlinie sieht hierzu jedoch keine Pflicht vor.

In Druckertreibern von Canon klafft eine kritische Sicherheitslücke, die Angreifern unter Umständen sogar das Einschleusen und Ausführen von Schadcode ermöglicht. Zudem können aufgrund Sicherheitslecks in der Firmware einiger Drucker Angreifer ebenfalls Codeschmuggel auf die betroffenen Geräte provozieren.

In einer Sicherheitsmitteilung warnt Canon vor dem Sicherheitsleck in den Druckertreibern. "Eine außerhalb-vorgesehener-Speichergrenzen-Schwachstelle wurde in bestimmten Druckertreibern für Produktions-Drucker, Büro- und Small-Office-Drucker sowie Laserdrucker entdeckt, die das Drucken verhindern und/oder möglicherweise das Ausführen beliebigen Codes erlauben kann, wenn das Drucken durch eine bösartige App verarbeitet wird", umschreibt Canon die Lücke etwas hakelig.

Der Fehler kann beim Verarbeiten von EMF durch die Druckertreiber auftreten. EMF-Dateien sind "Enhanced Metafiles", weiterentwickelte WMF-Dateien, die für den High-End-Druck aufgebohrt wurden (CVE-2025-1268, CVSS 9.4, Risiko "kritisch")..

Wie genau die Sicherheitslücke aussieht und wie Admins einen Missbrauch oder den Versuch erkennen können, schreibt Canon nicht. Betroffen sind die Druckertreiber "Generic Plus" PCL6, UFR II, LIPS4, LIPSLX sowie PS bis einschließlich Version 3.12. Auf den lokalen Webseiten von Canon sollen die neuen Druckertreiber zum Herunterladen bereitstehen – etwa bei Canon Deutschland hier.

Bislang unter dem Radar blieben Sicherheitslücken in der Firmware einiger Laserdrucker und Small-Office-Multifunktionsdrucker von Canon. Bereits von Ende Februar stammt eine Sicherheitsmitteilung, in der die Entwickler vor einem Pufferüberlauf in der Firmware warnen. Sofern die Drucker direkt über einen kabelgebundenen oder WLAN-Router mit dem Internet verbunden sind, können Angreifer möglicherweise Schadcode aus der Ferne einschleusen und ausführen oder eine Denial-of-Service-Atacke ausführen. Drei CVE-Nummern zu den Schwachstellen nennt Canon, CVE-2024-12647, CVE-2024-12648 und CVE-2024-12649. Das japanische CERT kommt zu einer Risikoeinschätzung als "kritisch" mit einem CVSS-Wert von 9.8.

Die Kriminalität im digitalen Raum beschäftigt Bundes- und Länderpolizeien weiter intensiv. Das geht aus der heute vorgelegten Polizeilichen Kriminalstatistik (PKS) hervor, die Bundesinnenministerin Nancy Faeser (SPD), der Präsident des Bundeskriminalamtes Holger Münch und der Bremer Innensenator Ulrich Mäurer für die Landesinnenminister heute Morgen in Berlin vorstellten.

131.391 Mal wurden Straftaten wie Computerbetrug, also etwa der Verwendung fremder Daten mit dem Ziel, dadurch Waren, Dienstleistungen oder andere Vermögensvorteile zu erlangen, oder Computersabotage – darunter fallen etwa Verschlüsselungstrojaner – polizeilich erfasst, die aus dem Inland begangen wurden. Damit sank diese Zahl um 3.016 Fälle gegenüber dem Vorjahr. Knapp ein Drittel dieser Fälle wurde aufgeklärt. Doch dabei werden nur jene Fälle gezählt, bei denen mindestens ein Tatverdächtiger sich im Inland befindet.

Zugleich aber stieg die Zahl der Cybercrime-Taten aus dem Ausland weiter an, auf nunmehr 201.877 Fälle, erläuterte BKA-Präsident Holger Münch am Mittwochvormittag: "Wenn wir die Auslandsstraftaten betrachten, haben wir einen Anstieg um 6 Prozent." Und deren Aufklärungsquote ist mit 2,2 Prozent verschwindend gering. Münch erklärt das damit, dass dabei sowohl die Ermittlung als auch die Zusammenarbeit mit den Herkunftsstaaten der Täter bei der Verfolgung ausgesprochen schwierig sei.

Da es sich bei vielen dieser Fälle um Kriminalität handele, die Call-Center-artig Gewinnversprechungen mache, sehe er hier als zielführende Möglichkeiten vor allem die Prävention über eine Sensibilisierung der Öffentlichkeit. Dazu sei der Fokus der Ermittlungsarbeit hier ein anderer, so Münch: "Weniger um den Einzelfall kümmern, wir müssen uns eher auf die Strukturen konzentrieren."

Eine kleine positive Nachricht enthält die Polizeiliche Kriminalstatistik für das Jahr 2024 zudem im Bereich der Darstellungen sexuellen Missbrauchs von Kindern: Die Zahl der Fälle sank um 5,2 Prozent auf 42.854. Dem gegenüber steht ein weiterer Anstieg der Verbreitung, des Erwerbs, Besitzes und der Herstellung jugendpornografischer Inhalte.

In der vergangenen Woche wurde eine als kritisches Risiko eingestufte Sicherheitslücke in der Datentransfer-Software CrushFTP bekannt. Nun beobachten IT-Sicherheitsforscher Angriffsversuche auf verwundbare Instanzen. Ein Proof-of-Concept-Exploit ist öffentlich verfügbar, den Kriminelle offenbar dafür einsetzen.

Die IT-Forscher von Rapid7 haben die Sicherheitslücke in CrushFTP untersucht. Sie haben dazu die Unterschiede zwischen den Versionsständen analysiert und sich dabei auf den Hinweis aus dem Changelog gestützt, der eine Schwachstelle in der Authentifizierung andeutete. Damit konnten sie einen Proof-of-Concept-Exploit entwickeln, der die Schwachstelle erfolgreich missbraucht.

Die IT-Forscher der Shadowserver Foundation haben seit Anfang der Woche Angriffsversuche auf die Schwachstelle CVE-2025-2825 entdeckt.

Die Angriffe verbleiben seit Wochenanfang auf gleichem Niveau.

(Bild: Shadowserver Foundation)

Angreifer können an mehreren Schwachstellen in der Geräteverwaltungssoftware Dell Wyse Management Suite ansetzen und auf eigentlich abgeschottete Informationen zugreifen oder sogar Schadcode ausführen.

In einem Beitrag listen die Entwickler die in der Ausgabe 5.1 geschlossenen Sicherheitslücken auf. Alle vorigen Versionen sollen verwundbar sein. Mehrere ältere Schwachstellen betreffen die Komponente MongoDB. Hier sind unter anderem DoS-Attacken möglich (CVE-2022-4904, Risiko "hoch").

Die verbleibenden Lücken betreffen die Geräteverwaltungssoftware direkt. An dieser Stelle könnte etwa ein Angreifer mit Fernzugriff ohne Authentifizierung ansetzen, um Informationen einzusehen (CVE-2025-29981, Risiko "hoch").

Für die weiteren Schwachstellen gilt der Bedrohungsgrad "mittel". Hier sind unter anderem DoS-Angriffe (CVE-2025-27694) und Schadcode-Attacken (CVE-2025-27692) vorstellbar. Ob es bereits Attacken gibt, geht aus Dells Meldung nicht hervor. Unklar bleibt auch, an welchen Parametern Admins bereits erfolgte Angriffe erkennen können.

Wenn User ihr Betriebssystem schnell aktualisieren, hat das viele Vorteile: Sie erhalten neue Features sofort und sind auch in Sachen Sicherheit auf dem aktuellen Stand. Dennoch gibt es einige Gründe, Updates auszusitzen: Seien es etwa Inkompatibilitäten mit bestehenden Anwendungen, unerwünschte Änderungen durch den Hersteller oder die Tatsache, dass manch größeres Update ältere Geräte langsamer laufen lassen kann. Apple versucht nun allerdings, Nutzer stärker dazu zu bringen, automatische Updates zu aktivieren. Wer bei der Installation von iOS 18.4, das am Montag erschienen war, nicht aufpasst, bekommt die Funktion aufgedrückt. Auch zuvor schon hatte Apple hier teilweise versucht, mit entsprechender Bedienführung dafür zu sorgen, dass das Auto-Update "freiwillig" aktiviert wird.

Bei iOS 18.4 läuft dies allerdings noch einen Zacken schärfer. Ist die Aktualisierung abgeschlossen, erscheint das in großer Schrift (siehe Aufmacherbild): "Ihr iPhone wurde auf iOS 18.4 aktualisiert." Darunter schreibt der Konzern allerdings noch dies: "Künftige Softwareaktualisierungen werden automatisch geladen und installiert, sobald sie veröffentlicht werden."

Und weiter: Man könne dies "in den Einstellungen für die Softwareaktualisierung" verwalten. Wer an dieser Stelle den großen "Fortsetzen"-Knopf (Continue) drückt, hat das Auto-Update also aktiviert. Wer das nicht möchte, muss den sehr klein gehaltenen Text "Nur automatisch herunterladen" selektieren, wie er oder sie dies vermutlich zuvor aktiviert hatte.

Apple will damit erreichen, dass möglichst die gesamte Nutzerschaft auf das automatische Update geht. Das ist grundsätzlich keine schlechte Idee, doch hat es auch Nachteile. Die wenigsten dürften eine einmal so vorgenommene Einstellung wieder rückgängig machen. Hinzu kommt, dass das Auto-Update nicht unbedingt bedeutet, dass Aktualisierungen wirklich schnell auf dem iPhone landen: Apple rollt sie in Schritten aus. Es kann also durchaus flotter gehen, händisch zu aktualisieren, wenn man ein Update wirklich haben möchte.

Apples Ansatz, Funktionen zu aktivieren, ohne dass Nutzer dies unbedingt wünschen, erinnert an Apple Intelligence. Hier hatte Apple damit begonnen, das KI-System ebenfalls nach Updates automatisch zu aktivieren. Auch diesen "Dienst" wollen nicht alle User haben, zumal er Speicherplatz frisst.

Mit dem HPE Aruba Networking Virtual Intranet Access (VIA) Client unter iOS, Linux, macOS und Windows erstellte VPN-Verbindungen sind nicht sicher. Der Android-Client ist davon nicht betroffen. Für die anderen Systeme gibt es ein Sicherheitsupdate.

In einer Warnmeldung führen die Entwickler aus, dass der VIA-Client bis inklusive Version 4.7.0 verwundbar ist. Sie geben an, in der Ausgabe 4.7.2 zwei Sicherheitslücken (CVE-2024-3661 "hoch", CVE-2025-25041 "hoch") geschlossen zu haben.

Die erste Lücke ist unter dem Titel "Tunnelvision" schon seit 2024 bekannt. An dieser Stelle können entfernte Angreifer ohne Authentifizierung ansetzen und im Kontext des Netzwerkkonfigurationsservices des DHCP-Protokolls ansetzen, um VPN-Verbindungen aufzubrechen.

Nutzen Angreifer die zweite Schwachstelle erfolgreich aus, können sie DoS-Zustände erzeugen. Für beide Lücken gibt es den HPE-Entwicklern zufolge noch keine Hinweise auf Attacken.

Broadcom warnt vor einer hochriskanten Sicherheitslücke in VMware Aria Operations. Angreifer können dadurch ihre Rechte im System ausweiten.

In einer Sicherheitsmitteilung erörtern die VMware-Entwickler die Schwachstelle. Demnach wurde in einer "Responsible Disclosure" eine lokale Rechteausweitungslücke an VMware gemeldet. "Bösartige Akteure können ihre Rechte zu 'root' auf der Appliance ausweiten, auf der VMware Aria Operations läuft", erklärt das Unternehmen (CVE-2025-22231, CVSS 7.8, Risiko "hoch").

Details unklar

Wie Angriffe aussehen würden, worin die Sicherheitslücke genau besteht, oder wie Admins Angriffsversuche und erfolgreiche Attacken erkennen können, beschreibt Broadcom in dem Security Advisory nicht. Auch temporäre Gegenmaßnahmen gibt es keine. Immerhin, die Sicherheitslücke scheint noch nicht von Kriminellen angegriffen zu werden, davon schreibt der Hersteller nichts.

Die Schwachstelle betrifft VMware Aria Operations 8.x, Version 8.18 HF 5 bessert sie aus. Für VMware Cloud Foundation 4.cx und 5.x stellt der Hersteller einen Knowledgebase-Artikel zur Problemlösung bereit. Wer VMware Telco Cloud Platform oder Infrastructure einsetzt – ganz gleich, ob 2.x, 3.x, 4.x oder 5.x – soll die Sicherheitslücke ebenfalls mit dem Update auf Version 8.18 HF 5 stopfen.

Die Aktualisierung steht auf einer eigenen Download-Seite bei Broadcom zum Herunterladen bereit. Laut den Release-Notes korrigiert das Update weitere Fehler und dichtet diverse weitere, teils ältere Sicherheitslücken ab. Insbesondere in Dritthersteller-Komponenten wie 7-Zip, Bash, der Gnu-C-Bibliothek, RPM, XZ-Utils und weiteren korrigiert die Aktualisierung diverse sicherheitsrelevante Fehler. Admins sollten das Update daher zügig anwenden.

Im Zweiten Weltkrieg half sie den Briten beim Knacken verschlüsselter Nachrichten: Charlotte "Betty" Webb war eine der letzten Code-Knackerinnen von Bletchley Park – nun ist sie im Alter von 101 Jahren gestorben, wie die britische Nachrichtenagentur PA meldete.

In Bletchley Park, einem Anwesen nördlich von London, hatten die Briten den Verschlüsselungscode der Nationalsozialisten geknackt und auch daran gearbeitet, Nachrichten anderer verfeindeter Staaten zu verstehen. Filme wie "The Imitation Game – Ein streng geheimes Leben" erzählen davon.

Webb sei einer der letzten noch lebenden "Codebreaker" von Bletchley Park gewesen, meldete PA. Sie war dort von 1941 bis 1945 für die Frauenabteilung des britischen Heeres im Einsatz, arbeitete mit deutschen und japanischen Nachrichten und später auch für das US-Pentagon.

Anfangs sei sie Sekretärin gewesen, was sie "ziemlich langweilig" gefunden habe, zitierte PA. Dann habe sie gewechselt. Jahrelang habe sie ihren Einsatz verschwiegen – bis 1975 sei er ein Geheimnis geblieben. Später wurde sie vom Königshaus geehrt und in die französische Ehrenlegion aufgenommen.

"Betty hat Frauen in der Armee über Jahrzehnte inspiriert", teilte die Organisation Women's Royal Army Corps Association mit. Auch Bletchley Park – heute ein Museum – würdigte Webb: Sie habe sich unermüdlich darum bemüht, die Geschichte von Bletchley Park einem breiteren Publikum nahezubringen.

Auch knapp eine Woche nach ersten Meldungen über ein Datenleck bei Oracle kommen noch immer neue Informationen ans Licht, dennoch bleiben Unklarheiten. In einem ersten Dementi hatte der US-Konzern einen Sicherheitsvorfall abgestritten, war aber in seiner Wortwahl auffallend spezifisch. Experten halten das für Absicht und verweisen auf authentisch wirkende Datensätze in Untergrundforen. heise security hat sich die Daten angesehen.

Es klang nach einem GAU für Oracle: Sechs Millionen Datensätze von Kunden der "Oracle Classic"-Cloudumgebung bot ein Akteur in einem der größten internationalen Darknet-Foren für illegalen Datenhandel feil. Doch der Konzern dementierte: "Es gab keinen Angriff auf Oracle Cloud". Die Hinweise verdichten sich nun, dass das Oracle-Dementi irreführend sein könnte. So vermutete der Sicherheitsforscher Kevin Beaumont in einem Blogartikel, Oracle "betreibe Wortklauberei".

Zudem hatte der Konzern ein weiteres Indiz, nämlich einen Archivlink zur "Wayback Machine", löschen lassen. Diesen hatte der Angreifer offenbar bereits Anfang März 2025 angelegt – er zeigt unter der Domain "login.us2.oraclecloud.com" eine Textdatei mit nur 19 Zeichen Inhalt: Der E-Mail-Adresse des Eindringlings. Der Angreifer hatte also offenbar zumindest kurzzeitig Zugriff auf eine zentrale Schnittstelle in der klassischen Oracle-Cloudumgebung. Am 1. April 2025, dem Veröffentlichungsdatum dieser Meldung, ist der Link bei der Wayback Machine wiederhergestellt.

Dreh- und Angelpunkt der Diskussion zwischen Angreifer, Oracle und Sicherheitsforschern ist hingegen die Frage, ob "die Oracle Cloud" erfolgreich angegriffen wurde oder nicht. Oracle selber dementiert dies, bedient sich dabei jedoch einer recht eigentümlichen und verdächtig präzisen Nomenklatur. Neben der aktuell vermarkteten Cloudumgebung (OCI - Oracle Cloud Infrastructure) gibt es noch "Cloud Classic", die Vorgängergeneration der Oracle-Cloud. Zwar bietet auch die klassische Cloud alle Funktionen der Oracle-IaaS-Wolke, doch der Konzern möchte Kunden auf die OCI umziehen, wie er auf der entsprechenden Produktseite an prominenter Stelle verrät.

Das Oracle-Dementi verneint explizit einen Angriff auf "Oracle Cloud", mithin also die modernere OCI. Es scheint also sicher, dass Kunden, die nur diese nutzen und nie die Vorgängerumgebung verwendet haben, nicht betroffen sind. Ein Testzugang von heise security, den wir im November 2024 angelegt haben, taucht jedenfalls weder in der Domainliste noch in den Demo-Daten auf.