Connect with us

Datenschutz & Sicherheit

Attacken laufen auf Schwachstellen in Linux, Android und Sitecore


Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor derzeit laufenden Angriffen auf Schwachstellen in Android, Linux und Sitecore. IT-Verantwortliche sollten die bereitstehenden Updates installieren, um die Lücken abzudichten.

Details nennt die CISA in ihrer Meldung nicht, sondern schreibt lediglich, auf welche Sicherheitslücken bereits Angriffe beobachtet wurden. Etwa im Linux-Kernel attackieren bösartige Akteure eine Time-of-Check Time-of-Use (TOCTOU)-Schwachstelle. Der Beschreibung nach handelt es sich um eine Race-Condition bei den Posix-TImern in den Funktionen handle_posix_cpu_timers() und posix_cpu_timer_del() (CVE-2025-38352 / EUVD-2025-22297, CVSS 7.4, Risiko „hoch„). Informationen zu der Schwachstelle sind seit dem 22. Juli des Jahres bekannt; Patches stehen bereit, die die Linux-Distributionen seitdem aufnehmen konnten. Anfällig sind laut Enisa-Eintrag die Linux-Versionen bis 2.6.36, 5.4.295, 5.10.239, 5.15.186, 6.1.142, 6.6.94, 6.12.34, 6.15.3, 6.16-rc2 und 6.16.

Im Android-Betriebssystem können Angreifer aufgrund einer Use-after-Free-Schwachstelle aus der Chrome-Sandbox ausbrechen und system_server von Android attackieren. Das mündet in einer Rechteausweitung und erfordert keinerlei Nutzerinteraktion (CVE-2025-48543 / EUVD-2025-26791, CVSS 8.8, Risiko „hoch„). Die Lücke hat Google mit den Updates zum September-Patchday geschlossen. Sie betrifft Android 13, 14, 15 und 16.

Zudem bestätigt die CISA auch den Missbrauch einer Schwachstelle im Sitecore-CMS. Es handelt sich um eine Schwachstelle des Typs „Deserialisierung nicht vertrauenswürdiger Daten“, durch die Angreifer Schadcode einschleusen können, der zur Ausführung gelangt (CVE-2025-53690 / EUVD-2025-26629, CVSS 9.0, Risiko „kritisch„). Die hat Mandiant bei der Untersuchung eines Angriffs entdeckt. Sie basiert auf einer fehlerhaften Konfiguration mit Beispiel-Maschinen-Schlüsseln in ASP.NET. Gegenmaßnahmen finden sich in unserer Schwachstellenmeldung.

Da Aktualisierungen zum Stopfen der Sicherheitslecks bereitstehen, sollten IT-Verantwortliche nicht zögern, diese auch anzuwenden.


(dmk)



Source link

Datenschutz & Sicherheit

Oracle CPU: Groß-Patch-Tag mit 374 Softwareflicken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Oracle liefert zum vierteljährlichen, „Critical Patch Update“ (CPU) genannten Patchday im Oktober 374 Softwareflicken aus. Admins sollten prüfen, ob sie betroffene Produkte in ihren Netzen einsetzen, und die Aktualisierungen zügig installieren.

Weiterlesen nach der Anzeige

Auf der Übersichtsseite listet Oracle alle betroffenen Produkte und die darin mit den Aktualisierungen geschlossenen Sicherheitslücken auf. Als kritisches Risiko eingestufte Sicherheitslücken sollten besonders zügig angegangen werden. Die finden sich etwa in Oracle GoldenGate, Oracle Communications und zugehörigen Applications, Oracle E-Business Suite, Oracle Financial Services Applications, Oracle Fusion Middleware, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft und Oracle Siebel CRM.

In mehreren Produkten klaffen zudem Sicherheitslecks, die eine kritische Risikoeinstufung nur knapp verfehlen. Auch hier sollten IT-Verantwortliche schnell handeln. Etwa die populäre Virtualisierungssoftware VM Virtualbox weist mehrere hochriskante Schwachstellen auf. Die bessern die nun verfügbaren Updates auf Virtualbox 7.2.4 respektive 7.1.14 aus.

Sicherheitslücken in Oracle-Produkten sind bei Cyberkriminellen begehrt. Erst vergangene Woche musste Oracle außer der Reihe Schwachstellen in der Oracle E-Business-Suite ausbessern. Neben der bereits angegriffenen Zero-Day-Lücke CVE-2025-61882, die mit einem CVSS-Wert von 9.8 als „kritisch“ gilt, hatten die Entwickler noch eine weitere gefunden. Die Schwachstelle CVE-2025-61884, eine Server-Side-Request-Forgery, hat als Risikoeinstufung zwar lediglich den CVSS-Wert 7.5, Risiko „hoch„, erhalten. Aber auch die hat die US-Cybersicherheitsbehörde CISA inzwischen in den „Known Exploited Vulnerabilities“-Katalog aufgenommen, das heißt, sie wird bereits aktiv im Netz angegriffen. Die ältere Lücke wurde zudem für Erpressungsversuche mit Ransomware missbraucht.

Der nächste planmäßige Oracle-Critical-Patch-Update-Tag findet am 20. Januar 2026 statt.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Keine Strategie für Umstieg auf Windows 11


Mitte Oktober hat Microsoft den Support für Windows 10 eingestellt. Nutzer*innen müssten also auf die nächste Windows-Version upgraden – oder sich für ein anderes Betriebssystem entscheiden. Und das besser gestern als heute, wenn sie sich keine Malware einfangen wollen. Wer den Umstieg nicht schafft, kann sich zumindest für begrenzte Zeit noch für grundlegende Sicherheitsupdates (ESU) registrieren.

Auch die Bundesverwaltung nutzt Windows 10, scheint sich auf die Umstellung jedoch bislang kaum vorbereitet zu haben. Sascha H. Wagner, Bundestagsabgeordneter der Linkspartei und im Haushaltsausschuss, hat beim Bundesministerium für Finanzen nachgefragt: Wie viele Rechner laufen mit Windows 10? Wie viel wird die Umstellung auf Windows 11 kosten? Bis wann sollen diese Rechner mit Windows 11 ausgestattet sein?

Auf diese Fragen erhielt er jedoch keine Antwort. Denn entsprechende Informationen liegen nicht gesammelt und verfügbar vor. Um sie beantworten zu können, müsste das zuständige Bundesministerium für Digitales und Staatsmodernisierung erst „umfangreiche Erhebungen“ vornehmen, so das BMF in seinem nicht-öffentlichen Antwortschreiben.

Keine Ressourcen, um betroffene Rechner zu zählen

Auch die Fragen, wie viele Rechner der Bundesverwaltung mit dem Support-Ende von Windows 10 unbrauchbar werden und wie teuer es wird, neue Geräte mit Windows 11 anzuschaffen, lässt das BMF offen.

Der Aufwand, hierzu Informationen einzuholen, übersteige den Umfang einer „ansonsten üblichen Einzelberichtsanforderung“, heißt es. Linken-Politiker Wagner sagt: „Dass das Digitalministerium unter Karsten Wildberger nicht weiß, wie der erzwungene Umstieg von Windows 10 auf Windows 11 in der Bundesverwaltung umgesetzt wird, ist erschreckend.“

Wir sind ein spendenfinanziertes Medium

Unterstütze auch Du unsere Arbeit mit einer Spende.

Dabei wurde ein zentrales Lizenzmanagment für den Bund schon im Jahr 2019 beschlossen. Fortschritte verspricht der Bund seit Jahren. Die Idee hinter dem lange angekündigten Projekt ist, dass Bundesbehörden Informationen zu Lizenzen offen einsehen können.

Nicht zuletzt die Kritik des Bundesrechnungshofs gab hier den Ausschlag: Der bemängelte mehrfach (PDF), dass Transparenz zwischen Bundesbehörden fehle. Das wiederum führe dazu, dass Behörden Software häufig nicht wirtschaftlich einsetzen. Dabei käme es häufiger zu Über- oder Unterlizenzierungen. Wüssten Behörden, was andere einkaufen und zu welchen Konditionen, könnten sie Lizenzen zwischen Behörden tauschen und hätten auch bei Einkaufsgesprächen eine bessere Verhandlungsposition.

Keine Ressourcen, um Lizenzen zentral zu verwalten

Doch der Plan einer Zentralstelle konnte laut BMF „mangels entsprechender Ressourcen“ bislang nicht umgesetzt werden. Es gibt also noch immer keine zentrale Stelle, die Informationen zu Lizenzen bei den Ministerien und anhängigen Behörden einfordert und zentral veröffentlicht. Zwar könnten Behörden inzwischen über ein Lizenzverwaltungstool ein rechtssicheres und wirtschaftliches Lizenzmanagement aufbauen, so das BMF. Doch seien Behörden nicht dazu verpflichtet, eines zu betreiben.

Statt das Projekt des Lizenzmanagements für den Bund weiter voranzubringen, will das BMDS nun einen zentralen Datenpool im Bund aufbauen. Darin sollen laut BMF auch die Lizenzinformationen der einzelnen Häuser zusammenlaufen.

Das Support-Ende von Windows 10 bringt den Bund samt Verwaltung hier anscheinend nicht aus der Ruhe. Das könnte daran liegen, dass Microsoft zumindest Sicherheitsupdates weiter fließen lässt – für Organisationen und Behörden können dabei jedoch pro Gerät Kosten anfallen. Dabei müsste es eigentlich darum gehen, „die Abhängigkeit und die explodierenden Kosten für Microsoft-Produkte zu reduzieren“, so Wagner.



Source link

Weiterlesen

Datenschutz & Sicherheit

Sicherheitsupdate: Unberechtigte Zugriffe auf Zyxel-Firewalls möglich


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Die Firewall-Serien ATP, USG FLEX und USG FLEX 50(W)/USG20(W)-VPN sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen. Um Instanzen abzusichern, sollten Admins das verfügbare Sicherheitsupdate installieren.

Weiterlesen nach der Anzeige

Beide Schwachstellen (CVE-2025-8078, CVE-2025-9133) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall müssen Angreifer bereits über Administratorrechte verfügen, um eigene Befehle auf Systemebene ausführen zu können. In dieser Position steht ihnen aber ohnehin schon Tür und Tor offen.

Im zweiten Fall müssen Angreifer den ersten Abschnitt der Einrichtung zur Zwei-Faktor-Authentifizierung abgeschlossen haben. Ist das gegeben, können sie Systemkonfigurationen einsehen und herunterladen.

Auch wenn es bislang keine Berichte zu Attacken gibt, sollten Admins das Sicherheitsupdate ZDL V5.41 zeitnah installieren. In einer Warnmeldung geben die Entwickler an, dass die ZDL-Ausgaben V4.32 bis einschließlich V5.40 von den Sicherheitslücken betroffen sind.

Zuletzt haben die Entwickler im April dieses Jahres Sicherheitsupdates für Firewalls veröffentlicht.

Weiterlesen nach der Anzeige


(des)



Source link

Weiterlesen

Beliebt