Im Firewall-Treiber aus Comodo Internet Security 2025 klafft eine Sicherheitslücke, die die Software zum Absturz bringen kann. Das gelingt Angreifern aus dem Netz. Ein Update ist derzeit nicht in Sicht. Nutzerinnen und Nutzer sollten die Software besser deinstallieren. Da Sicherheitslücken immer öfter einen Spitznamen haben, hat auch diese einen verpasst bekommen: „ComoDoS“.

In einem Beitrag schreibt der Entdecker der Schwachstelle, Marcus Hutchins, dass er „Bring Your Own Vulnerable Driver“-Lücken untersucht hat und dabei auf die Schwachstelle gestoßen ist. Er hat dabei eine Künstliche Intelligenz genutzt, die seiner Ansicht nach erstaunlich oft bei Treibern von IT-Sicherheitssoftware anschlägt. Insbesondere bei Software wie Antivirus und Firewalls. Wenn schon die KI so gut ist, darin Probleme ausfindig zu machen, die zur lokalen Rechteausweitung taugen, wollte Hutchins auch mit einer manuellen Analyse herausfinden, ob sich interessante Sicherheitslücken finden lassen.

Zufallstreffer in Comodos Firewall-Treiber

Der Firewall-Treiber „inspect.sys“ kam eher zufällig ins Visier des IT-Forschers, da die KI bei der Untersuchung aus Versehen eine sehr alte Version dieses Treibers untersucht hat. Eigentlich sollte nur der jüngste Treiber in die Analyse gehen, in diesem Fall war es jedoch eine Version aus 2014. Darin fand er eine Reihe bereits geschlossener Sicherheitslücken, stieß aber auch auf einige unglückliche Designentscheidungen. Das Aufspüren von Fehlern war demnach sehr leicht, schwieriger jedoch war die Entdeckung von nützlichen im Sinne von angreifbaren Schwachstellen. Im IPv6-Code wurde er dann fündig. Im Beitrag erklärt er detailliert, was er gefunden hat.

Die Schwachstellenbeschreibung selbst ist etwas knapper: In der IPv6-Paket-Verarbeitung kann ein sogenannter Integer-Unterlauf auftreten – noch bevor Firewall-Regeln greifen. Angreifer können deshalb aus der Ferne ohne vorherige Authentifizierung ein manipuliertes IPv6-Paket senden, um einen Lesezugriff außerhalb vorgesehener Speichergrenzen zu provozieren, was am Ende zu einem Absturz des Systems führt (BSOD). Das klappt auch dann, wenn alle Ports in der Firewall blockiert sind (CVE-2026-49494, CVSS 7.5, Risiko „hoch“).

Hutchins hat Comodo einen vollständigen Fehlerbericht geschickt, eine Ursachenanalyse und sogar mit Vorschlägen, wie die Entwickler das patchen könnten. Auch einen Proof-of-Concept-Exploit hat Hutchins veröffentlicht. Nur – der Hersteller reagierte zunächst nicht, es gab keine Antwort. Comodo Internet Security ist bis einschließlich Version 12.3.4.8162 anfällig für die Attacke. Das ist laut Forum auch die derzeit aktuelle Fassung davon.

Um das System nicht dem Risiko von Abstürzen mit Bluescreen-of-Death (BSOD) auszusetzen, sollten Comodo-Nutzerinnen und -Nutzer die Software deinstallieren. Der Microsoft Defender erkennt Malware ebenfalls ordentlich. Die Windows-Firewall leistet ebenfalls brauchbaren Dienst.

Vor rund einem Jahr fiel Comodo Internet Security ebenfalls durch Sicherheitslücken auf. Die ermöglichten Angreifern, Schadcode einzuschleusen und auszuführen. Betroffen damals: Version 12.3.4.8162. Derart schlecht gewartete Software sollten Nutzer zeitnah entfernen.

(dmk)

In VMware Cloud Foundation und damit arbeitenden Produkten klaffen Stored-Cross-Site-Scripting-Lücken. Angreifer können damit Opfern Script-Code unterschieben.

In einer Sicherheitsmitteilung warnt Broadcom vor den Schwachstellen. Mehrere Sicherheitslücken dieses Schwachstellentyps finden sich in der Virtualisierungssoftware. Die Entwickler fassen das nur knapp zusammen: VMware Cloud Foundation Operations enthält demnach mehrere Stored-Cross-Site-Scripting-Lücken. Angreifer mit Rechten, Richtlinien, Views oder Text-Widgets anzulegen, können dadurch Scripte einschleusen – die als administrative Aktionen in VMware Cloud Foundation Operations ausgeführt werden (CVE-2026-41722, CVE-2026-41723 und CVE-2026-41724; alle CVSS 8.0, Risiko „hoch“).

Betroffen ist eine Handvoll an VMware-Lösungen. Die Sicherheitslücken stopfen VMware Cloud Foundation und vSphere Foundation ab Version 9.1.0 und 9.0.2.0 EP2, VMware Aria Operations 8.18.6 sowie VMware Cloud Foundation und VMware Aria Operations 8.18.7. Für VMware Telco Cloud Platform stellt Broadcom einen eigenen Knowledgebase-Beitrag bereit.

Kein Missbrauch gemeldet

Die Schwachstellen werden offenbar noch nicht in freier Wildbahn ausgenutzt, da Broadcom diesbezüglich nichts erwähnt. Es gibt keine temporären Gegenmaßnahmen, die Admins als Zwischenlösung umsetzen könnten. Lediglich die Aktualisierung auf die fehlerkorrigierten Softwarestände hilft dem Sicherheitsproblem ab. IT-Verantwortliche sollten nicht lange zögern, sondern die Aktualisierungen zeitnah anwenden.

Ende Februar hat Broadcom bereits drei Sicherheitslücken in VMware Aria Operations und Cloud Foundation schließen müssen. Auch hier hätten Angreifer Schadcode einschleusen und ausführen können. Damals handelte es sich aber um unterschiedliche Schwachstellen, die konkret das Einschleusen von Befehlen ermöglichten, das Ausweiten von Rechten im System und in einem Fall ebenfalls Stored-Cross-Site-Scripting.

(dmk)

Kriminelle haben Brute-Force-Angriffe auf Dashlane-Nutzerkonten ausgeführt, meldet der Anbieter. Dabei gelang es ihnen, etwa 20 Passwort-Vaults von Nutzerinnen und Nutzern zu kopieren. Die Daten seien verschlüsselt und nicht zugreifbar, versichert der Support.

In einem Support-Beitrag informiert Dashlane über den Vorfall. Die Untersuchungen habe der Anbieter demnach gegen Ende vergangener Woche abgeschlossen. Die Autoren beschreiben in der Mitteilung, dass am Sonntag, den 31. Mai 2026, jemand Brute-Force-Angriffe gegen bestimmte, nicht näher erläuterte Dashlane-Konten gestartet hat. Ziel war dabei, die Zwei-Faktor-Authentifizierung mittels Brute-Force zu umgehen, um so neue Geräte in bestehende Nutzerkonten zu registrieren.

Brute-Force-Angriffe abgewehrt

Die schiere Menge an Anfragen führte dazu, dass die automatischen Sicherheitssysteme angeschlagen sind und die betroffenen Nutzerkonten gesperrt haben, die Ziel der Angriffe waren. Das Dashlane-Team erhielt eine Warnung vom System und untersuchte den Vorfall. Als Ergebnis der Angriffe hatten viele Nutzer mit temporär gesperrten Konten zu tun. Der Zugang wurde inzwischen wiederhergestellt, versichert Dashlane.

Die Angreifer waren in einigen Fällen offenbar erfolgreich und konnten weniger als 20 Passwort-Vaults herunterladen, von Nutzern mit einem „Personal“-Abo (im Gegensatz zu „Business“-Abos). Dashlane habe Betroffene bereits direkt informiert – wer keine Benachrichtigung erhalten habe, sei daher nicht betroffen, versichert der Anbieter. Zudem seien Dashlane-Vaults nicht ohne das Master-Passwort zugreifbar, die Verschlüsselung stelle sicher, dass Zugangsversuche statistisch unwahrscheinlich gelingen – auch über längere Zeiträume.

Die Untersuchungen hätten keine weiteren Einflüsse auf die Dashlane-Systeme gezeigt. Die Angreifer haben versucht, den Mechanismus zur Geräteregistrierung zu missbrauchen. Der fragt einen sechsstelligen 2FA-Code ab, entweder mittels Authenticator erstellt oder als E-Mail gesendet. Passt der Code, lädt das Gerät den Passwort-Vault herunter. Der lässt sich jedoch nur mit dem Master-Passwort öffnen und setzt auf zeitgemäße Verschlüsselungsalgorithmen. Dashlane nennt eine verwendete Kombination aus Argon2, AES-256-CBC und HMAC-SHA256.

Dass die Passwort-Vaults ordentlich verschlüsselt sind, ist unbedingt erforderlich – es handelt sich nicht um den ersten Vorfall, bei dem Cloud-gespeicherte Passworttresore in die Hände von Online-Kriminellen gefallen sind. Etwa Ende 2022 hatte der Passwort-Manager-Dienst LastPass eingeräumt, dass Unbefugte in die Cloudsysteme eingedrungen sind und dabei Zugriff auf Kundendaten erlangt haben. E-Mail-Adressen und Passwörter waren darunter: Die Rede war davon, dass aus Backups kopierte Passworttresore von Kunden unverschlüsselte URLs und verschlüsselte Informationen wie Nutzernamen und Passwörter enthielten.

Rund ein Jahr später schienen die Angreifer dann die Passworttresore zu knacken. Mit den Zugangsdaten darin konnten sie offenbar Zugang zu bestimmten Konten erlangen und Kryptowallets leerräumen.

(dmk)