Cisco hat vier neue Sicherheitsmitteilungen veröffentlicht und eine ältere aktualisiert. Eine der behandelten Schwachstellen erhält die Einstufung als kritisches Risiko mit Höchstwertung. Eine weitere der Lücken gilt als hochriskant.

In Ciscos Identity Services Engine (ISE) können Angreifer aus dem Netz ohne vorhergehende Authentifizierung Befehle ins Betriebssystem einschleusen, die im Kontext des root-Users ausgeführt werden. Die Sicherheitsmitteilung stammt ursprünglich von Ende Juni. Jetzt hat Cisco ihr jedoch ein Update verpasst und den bislang bekannten Schwachstellen mit den Nummern CVE-2025-20281 und CVE-2025-20282 den neuen Eintrag CVE-2025-20337 / EUVD-2025-21708 beiseitegestellt. „Angreifer benötigen keinerlei gültige Zugriffsdaten, um die Lücke zu missbrauchen. [..] Sie können sie durch das Senden einer manipulierten API-Anfrage ausnutzen. Bei Erfolg erhalten Angreifer root-Rechte auf betroffenen Geräten“, erklärt Cisco dazu. Betroffen sind Cisco ISE und ISE-PIC 3.3 und 3.4, die Versionen 3.3 Patch 7 sowie 3.4 Patch 2 schließen die neu bekannt gewordene Sicherheitslücke.

In Ciscos Unified Intelligence Center können Angreifer mit gültigem Zugang hingegen aufgrund einer Schwachstelle im Web-basierten Management-Interface beliebige Dateien auf verwundbare Systeme hochladen. „Ein erfolgreicher Exploit erlaubt Angreifern, bösartige Dateien im System abzulegen und beliebige Befehle im Betriebssystem auszuführen“, erklärt Cisco in der Sicherheitsmitteilung. Zum Missbrauch müssen bösartige Akteure mindestens Zugriff auf Ebene „Report Designer“ haben (CVE-2025-20274 / EUVD-2025-21714, CVSS 6.3, Risiko laut Cisco jedoch „hoch„). Das höher eingestufte Risiko erklärt Cisco damit, dass Angreifer ihre Rechte zu root ausweiten können.

Weitere Sicherheitslücken in Cisco-Produkten

Cisco hat noch weitere Schwachstellen gemeldet, die der Hersteller mit Updates ausbessert.

• Cisco Identity Services Engine Authenticated Remote Code Execution and Authorization Bypass Vulnerabilities, CVE-2025-20283, CVE-2025-20284, CVE-2025-20285 / EUVD-2025-21712, EUVD-2025-21711, EUVD-2025-21709, CVSS 6.5, Risiko „mittel„
• Cisco Unified Intelligence Center Server-Side Request Forgery Vulnerability, CVE-2025-20288 / EUVD-2025-21710, CVSS 5.8, Risiko „mittel„
• Cisco Prime Infrastructure and Evolved Programmable Network Manager Blind SQL Injection Vulnerability, CVE-2025-20272 / EUVD-2025-21713, CVSS 4.3, Risiko „mittel„

IT-Verantwortliche sollten die Aktualisierungen für bei ihnen eingesetzte Geräte zeitnah anwenden.

(dmk)

Die 18-jährige Abiturientin Lina hat sich mit den ganz Großen angelegt. Mit der Musikverwertungsgesellschaft Gema, der Deutschen Fußball Liga, den sechs größten deutschen Internetprovidern, dem Bundesverband Musikindustrie, dem Verband der deutschen Games-Branche, dem Fernsehsender Sky und weiteren Unternehmen und Verbänden. Und sie hat gesiegt.

Die Clearingstelle Urheberrecht im Internet (CUII), in der sich die Genannten organisieren, lässt Websites wegen mutmaßlicher Urheberrechtsverletzungen sperren. Künftig wird sie das nur noch tun, wenn es dazu einen Gerichtsentscheid gibt. Genau dafür hat Lina ein Jahr lang gekämpft. „Wenn eine private Organisation ohne Anhörung von Richter*innen entscheiden kann, welche Internetseiten sie sperrt, dann ist das ein Problem“, sagte sie zu Beginn ihres Kampfes zu netzpolitik.org.

Lina hat im August 2024 die eigentlich geheime Liste der Websites veröffentlicht, die in Deutschland wegen angeblicher Urheberrechtsverletzungen gesperrt sind. Einer der Internetprovider hatte die Liste aus Versehen offen ins Netz gestellt, ein Freund von Lina ist durch Zufall darauf gestoßen. Lina hat sie daraufhin auf einer eigenen Website gespiegelt.

Netzsperren mit mangelnder Sorgfalt

Mithilfe dieser Liste wies Lina nach, dass die Netzsperren nicht mit der gebotenen Sorgfalt ausgeführt wurden. So fand sie zum Beispiel heraus, dass viele Netzsperren länger wirkten als erlaubt. Daraufhin hoben die Internetprovider 39 unberechtigte Netzsperren wieder auf. Als nächstes fand Lina heraus, dass die Provider Seiten sperrten, die gar nicht mehr verfügbar waren.

Anfang 2025 begannen die Provider zu behaupten, dass die gesperrten Seiten nicht existieren würden. Auch das machte Lina öffentlich. Und nachdem der Provider 1&1 die versehentlich veröffentlichte Sperrliste gelöscht hatte, wies Lina auf dessen Fauxpas hin.

Lina hat dafür gesorgt, dass die CUII immer wieder im Fokus berechtigter Kritik stand. Der Bundesnetzagentur, die das Treiben der CUII beaufsichtigt, war das jetzt wohl zu viel.

Die Bundesnetzagentur will nicht mehr

„Die Bundesnetzagentur hat der CUII mitgeteilt, dass sie sich in Zukunft auf Ihre Pflichtaufgaben fokussieren möchte“, heißt es auf der kürzlich aktualisierten CUII-FAQ-Seite. Daher habe die Bundesnetzagentur die CUII gebeten, die Überprüfung mutmaßlich urheberrechtsverletzender Seiten künftig gerichtlich vornehmen zu lassen.

„Das große Problem der CUII war, dass es sich um eine private Organisation handelte, die den Rechtsweg umging und im Interesse von großen Firmen entschieden hat, wer was im Internet sehen darf. Dass diese Macht nun nicht mehr bei Konzernen liegt, sondern vor Gericht gehört, ist ein überfälliger Schritt“, sagt Lina dazu.

Jan Bernd Nordemann, Vorsitzender des Steuerungskreises der CUII, wird in einer CUII-Pressemitteilung so zitiert: „Für die CUII hat oberste Priorität, dass nur berechtigte Sperren umgesetzt werden. Das neue gerichtliche System gewährleistet das auch in der Zukunft.“

Die letzte Website, die die CUII den bei ihr versammelten Internetprovidern zur Sperrung empfohlen hatte, war nox.to. Die Empfehlung wurde am 28. Mai ausgesprochen. Es war schon keine Empfehlung mehr, wie man sie von der CUII bislang kannte – denn zur Sperrung von nox.to gab es tatsächlich eine Gerichtsentscheidung.

Ganz gibt die CUII nicht auf

Das finale Einknicken der CUII konnte Lina live verfolgen. Sie hatte sich ein Skript geschrieben, das die CUII-Seite alle 30 Sekunden auf Änderungen überprüft. „Vor fünf Minuten wurde die Seite der CUII-Empfehlungen geupdatet“, schrieb sie netzpolitik.org am 16. Juli. Auf der Seite steht nun: „Die auf dieser Seite veröffentlichte Liste erfasst die strukturell urheberrechtsverletzenden Webseiten, für die eine gerichtliche Sperranordnung erlassen wurde, mit dem Aktenzeichen der gerichtlichen Entscheidung. Die Liste enthält zudem die Empfehlungen des Prüfauschusses der CUII nach dem alten CUII-Verhaltenskodex (bis 06/2025).“

Damit war klar, dass die CUII ihre alte Praxis aufgibt, Websites ohne Gerichtsbeschluss sperren zu lassen. Eigentlich könnte sie sich jetzt auch auflösen. Denn die Sperrempfehlungen zu beschließen, war ihr zentraler Zweck. Ganz so weit wollen die versammelten Konzerne aber wohl doch nicht gehen. Kurz nach der Seite mit den Sperrempfehlungen wurde auch die Hauptseite geupdatet. Als künftige Aufgabe der CUII wird dort genannt: „koordiniert die Durchführung gerichtlicher Sperrverfahren und die Umsetzung von gerichtlichen Sperranordnungen.“ Außerdem kümmere sich die CUII, so die neuen FAQ, um die Entsperrung von nicht mehr rechtsverletzenden Domains. Ob sie dabei gründlich vorgeht, will Lina weiterhin dokumentieren.

Die CUII-Sperren sind übrigens ziemlich leicht zu umgehen. Eine Anleitung, wie das funktioniert, gibt es ebenfalls auf Linas Website.

Microsoft bringt die mitgelieferten Standard-Apps auf den Windows-Installationsmedien auf aktuellen Stand. Außerdem liefert das Unternehmen nun auch Hotpatching für ARM-Prozessor-basierte Windows-PCs.

Das hat Microsoft im Message-Center der Windows-Release-Health-Notizen angekündigt. Das Unternehmen erklärt zu den Installationsmedien, dass mit Medien für Windows 11 24H2 sowie Windows Server 2025, die nach dem Juni 2025 erstellt wurden, die neuen Programm-Versionen direkt verfügbar sind. Sie brauchen dann keine unmittelbare Aktualisierung aus dem Microsoft Store. Das soll für ein sichereres, Richtlinien-getreues und nutzerfreundliches Deployment sorgen. Die Apps schließen in den aktualisierten Fassungen unter anderem Sicherheitslücken.

Bislang waren die Release-to-manufacturing-Fassungen (RTM) auf den Medien vorzufinden. Betroffen sind unter Windows 11 Alarms & Clock, App Installer, AV1 Video Extension, AVC Encoder Extension, Bing Search, Calculator, Camera, Clipchamp, Cross Device Experience Host, Get Help, HEIF Image Extension, HEVC Video Extension, Media Player, Microsoft Store, Microsoft To Do, Notepad, Office Hub, Paint, Phone Link, Photos, Power Automate, Quick Assist, Raw Image Extension, Snipping Tool, Solitaire Collection, Sound Recorder, Sticky Notes, Store Purchase App, VP9 Video Extension, Weather, Web Media Extensions, WebP Image Extension, Windows Security, Windows Web Experience Pack, Xbox Game Bar und Xbox Speech-to-Text-Overlay – insgesamt 36 Apps. Bei Windows Server 2025 ist die Liste deutlich übersichtlicher, hier sind die aktuellen Fassungen von App-Installer und Windows Security dabei.

Hotpatching für ARM-PCs

Außerdem verkündet Microsoft die allgemeine Verfügbarkeit von Hotpatching für Windows 11 24H2 auf ARM64-Geräten. Für AMD- und Intel-basierte X64-Rechner hatte Microsoft bereits im April Hotpatching freigegeben. Seitdem beobachtet das Unternehmen eine rasant steigende Nutzung der Hotpatching-Funktion. Millionen von Geräten und Tausende von Kunden haben bereits Hotpatches in den Hotpatch-Update-Monaten erhalten.

Die Hotpatches ermöglichen die Installation und Aktivierung von Sicherheitsupdates, ohne dass ein Geräteneustart nötig wäre. Die sieht Microsoft für Hotpatch-aktivierte Geräte nur noch viermal im Jahr vor, anstatt bislang jeden Monat zu den Sicherheitsupdates zum Patchday. Um Hotpatching auf ARM-Geräten zu nutzen, müssen Interessierte jedoch „Compiled Hybrid Portable Executable“ (CHPE) deaktivieren. Das ist ein Kompatibilitäts-Layer zur Ausführung von x86-Binärdateien auf den ARM-PCs.

Seit Anfang des Monats aktiviert Microsoft Hotpatching für Windows-Enterprise-Kunden mit Windows Autopatch standardmäßig. Damit will Microsoft den Umgang mit Hotpatching vereinfachen.

(dmk)