Connect with us

Datenschutz & Sicherheit

Angreifer können Citrix NetScaler ADC und NetScaler Gateway lahmlegen


Citrix NetScaler ADC und NetScaler Gateway sind verwundbar, und Angreifer können Instanzen mittels DoS-Attacken zum Erliegen bringen. Dadurch können unter anderem wichtige Netzwerkbereiche in Unternehmen nicht erreichbar sein. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen.

Weiterlesen nach der Anzeige

Das Softwareunternehmen weist darauf hin, dass die Cloudinstanzen bereits verarztet sind. Admins, die Instanzen selbst hosten, müssen handeln.

Bis auf eine Sicherheitslücke (CVE-2026-10817 „mittel“) sind alle weiteren (CVE-2026-8451, CVE-2026-8452, CVE-2026-8655, CVE-2026-10816, 13474) mit dem Bedrohungsgrad „hoch“ eingestuft. In allen Fällen müssen bestimmte Voraussetzungen gegeben sein, damit Attacken überhaupt möglich sind. Diese und weitere Informationen führen die Entwickler in einer Warnmeldung aus.

In einem Fall muss etwa die Single-Sign-On-Komponente SAML IDP aktiv sein. Ist das gegeben, können Angreifer auf einem nicht näher beschriebenen Weg einen Speicherfehler auslösen. In so einem Kontext kommt es oft zur Ausführung von Schadcode und somit zur vollständigen Kompromittierung von Systemen.

Die DoS-Attacken gehen ebenfalls auf Speicherfehler zurück und Dienste können abstürzen. Damit das klappt, muss NetScaler ADC etwa als DNS-Proxy konfiguriert sein. In einem anderen Fall können präparierte HTTP/2-Anfragen für Probleme sorgen und Abstürze auslösen. Dafür muss aber vorab das HTTP/2-Profil aktiviert sein. Angreifer können aber auch unbefugt auf Dateien zugreifen und diese lesen.

Um solchen Attacken vorzubeugen, müssen Admins eine der folgenden Versionen installieren. Alle vorigen Ausgaben sind verwundbar.

  • NetScaler ADC und NetScaler Gateway 14.1-72.61
  • NetScaler ADC und NetScaler Gateway 13.1-63.18
  • NetScaler ADC 14.1-FIPS 14.1-72.61 FIPS
  • NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1.37.272

Weiterlesen nach der Anzeige

Zuletzt sorgte Citrix Ende März mit Attacken auf Gateway und NetScaler ADC für Schlagzeilen.


(des)



Source link

Datenschutz & Sicherheit

Exploitarium: Anonymer Sicherheitsforscher veröffentlicht zwei Dutzend Zero-Days


Ein Unbekannter mit dem sommerlichen Pseudonym „Bikini“ hat auf der Codesharing-Plattform Github Proof-of-Concept-Code für knapp zwei Dutzend Sicherheitslücken veröffentlicht – nach eigener Aussage allesamt bislang ungefixte Zero-Days. Darunter befinden sich Exploits für PHP, OpenVPN, VLC und andere Projekte. Die Schwere der Sicherheitslücken variiert von Informationslecks bis zu Codeeinschleusung. Wer will, kann die Lücken an den Hersteller melden, um Ruhm einzuheimsen.

Weiterlesen nach der Anzeige

Im Github-Repository „Exploitarium“ finden sich alle Lücken mit einer kurzen README, die wie Teile der eigentlichen Lückenfindung KI-generiert ist. Im Einzelnen sind folgende Projekte betroffen:

  • 7-Zip 26.01 (Windows)
  • AnyDesk 9.7.6 (Windows)
  • c-ares
  • Docker Engine 29.6.0
  • FFmpeg: RASC-Decoder
  • Firefox 152.0.2 (Windows)
  • Floci 1.5.27 API Gateway
  • Flowise 3.1.2 / flowise-components 3.1.2
  • Ghidra 12.1.2
  • Gitea
  • ImageMagick 7.1.2-25 mit Ghostscript 10.07.1 (Windows)
  • libssh2 (PoC für CVE-2026-55200 sowie für neue Lücke unter Windows)
  • Lunar Client
  • MyBB 1.8.40
  • nghttp2 1.69.0
  • nmap
  • objdump
  • OpenVPN 3.11.3 sowie OpenVPN Connect für Windows 3.8.0
  • PHP 8.5.7
  • RustDesk
  • SystemInformer 4.0.26162.539 (Windows)
  • VLC 3.0.23 (Windows)

Wie der unbekannte Sicherheitsforscher selber schreibt, sind manche seiner Funde „ein bißchen schrottig“, manche seien aber besser. Er nutzte KI für Handreichungen bei der Lückensuche, betont jedoch, dass fast alle PoCs handkodiert seien. Bis auf eine Lücke – CVE-2026-55200 – gibt es weder CVE-Kennungen noch CVSS-Punkte oder andere Zusatzinformationen. Potenziell Betroffene müssen diese aus den jeweiligen Readmes und dem PoC-Code extrahieren oder auf Bearbeitung durch die Hersteller warten. Auf die Hintergründe von CVE, CVSS und anderen Metadaten für Sicherheitslücken geht der Podcast „Passwort“ in seiner aktuellen Folge ausführlich ein.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Die Motivation hinter dem Exploitarium sei Nachwuchswerbung, schreibt der Anonymous. Er schenkt die Funde der Öffentlichkeit und betont, dass ein jeder sie an die betroffenen Hersteller melden dürfe, um einen CVE dafür „einzuheimsen“. Der Sicherheitsforscher habe sich zu diesem Vorgehen entschlossen, um „Leute in das Feld [der Exploitsuche, d.R.] zu locken“, er empfinde es als „effizientesten Weg“ der Nachwuchswerbung.

Weiterlesen nach der Anzeige

KI-generierte Sicherheitslücken überschwemmen in den vergangenen Monaten in einer Art „Vulnokalypse“ die Bug-Bounty-Programme vieler Hersteller und führen zu spürbaren Abnutzungserscheinungen. Das cURL-Projekt hat daher den „Summer of Bliss“ ausgerufen und bearbeitet im Juli keine Fehlermeldungen.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Millionendeal mit Überwachungsfirma: Regierung in Österreich will Menschen mit illegalen Daten orten können


Wer in Österreich ein Handy nutzt, dessen genaue Standortdaten könnten auf den Bildschirmen dortiger Ermittler*innen landen. Das Innenministerium hat jüngst die Lizenz für eine Überwachungs-Software verlängert, die auf massenhaft erfassten Handy-Ortungen basiert. Das zeigt ein Dokument aus einem öffentlichen Vergabeportal. Zuerst berichtet hatte die Tageszeitung Der Standard.

Konkret geht es um das Werkzeug namens Webloc der US-Firma Penlink. Hierzu hatte im April das Citizen Lab der Universität Toronto einen Bericht veröffentlicht. Demnach soll Webloc Zugang zu einem Datenstrom von bis zu 500 Millionen Handys weltweit bieten. Zu den verfügbaren Daten sollen unter anderem genaue GPS-Standorte gehören sowie die einzigartigen Werbekennungen eines Geräts („mobile advertising ID“). Eine kurzfristige Presseanfrage von netzpolitik.org hat die US-Firma Penlink nicht beantwortet.

Den Weg der Daten von populären Handy-Apps in fremde Hände konnten die Recherchen zu den Databroker Files von netzpolitik.org und Bayerischem Rundfunk seit 2024 zeigen. Angeblich nur zu Werbezwecken erhoben fließen die Daten über das Ökosystem der Werbe-Industrie an Datenhändler und von dort zu Überwachungsunternehmen. Betroffen sind potenziell alle Menschen, die ein Handy mit werbefinanzierten Apps nutzen und keine digitale Selbstverteidigung betreiben.

Mithilfe der Werbe-ID lassen sich solche Handy-Standortdaten mühelos zu Bewegungsprofilen verknüpfen. Sie geben oftmals unter anderem Wohnort und Arbeitsplatz preis, aber auch sensible Details über das Privatleben wie Besuche in Arztpraxen, Kliniken, religiösen Gebäuden oder Bordellen.

Der Fachbegriff für Erkenntnisse aus Daten der Werbe-Industrie ist ADINT. Sicherheitsbehörden können mit ADINT-Software diese Daten kinderleicht durchforsten: Ähnlich wie man etwa mit Google Maps nach Restaurants in der Nähe suchen kann, können Polizist*innen mit ADINT-Software nach Bewegungsprofilen von Menschen in einem bestimmten Areal suchen.

Fachleute sehen im Handel mit den Standortdaten einen Verstoß gegen die DSGVO (Datenschutz-Grundverordnung). Bereits 2024 schrieb das deutsche Verbraucherschutzministerium: „Die Übertragung von personenbezogenen Daten als Selbstzweck, also als reine Handelsware, ist aus unserer Sicht mit dem Datenschutzrecht nicht vereinbar.“ In Deutschland und Österreich bezweifeln Fachleute zudem, dass Sicherheitsbehörden solche Daten nutzen dürfen.

Zwei Jahre Überwachung, 1,85 Millionen Euro

Auf Anfrage von netzpolitik.org kommentiert das Innenministerium in Österreich den Einsatz von Webloc nicht direkt. „Über konkrete Softwarelösungen und deren Einsatz kann öffentlich keine Auskunft erteilt werden“, schreibt ein Sprecher. „Fakt ist, dass wir diese nur im Rahmen unserer gesetzlichen Möglichkeiten nutzen.“

Die erste Aussage ist nicht korrekt. Das Ministerium kann sich durchaus äußern, will das aber offenbar nicht. Die zweite Aussage ist nicht belegbar: Wenn das Ministerium über die Software schweigt, lässt sich auch nicht unabhängig prüfen, ob ihr Einsatz legal ist.

Deine Daten landen bei der Polizei.

Wir decken es auf. Mit deiner Unterstützung.

In der ausweichenden Antwort der Behörde stecken jedoch Hinweise darauf, wer die Software zu welchem Zweck einsetzen könnte: Zuständig ist demnach die Direktion Staatsschutz und Nachrichtendienst; in einer kurzen Vorrede geht der Sprecher auf „extremistische und terroristische Straftaten“ ein.

Laut Vergabeportal hat Österreich schon einmal an Penlink gezahlt. Die Rede ist von einer „Verlängerung“ der Lizenz um weitere zwei Jahre. Kostenpunkt dieses Mal: rund 1,85 Millionen Euro. Zum Paket gehören demnach nicht nur Webloc, sondern auch weitere Produkte der Firma.

Deren Hauptprodukt heißt Tangles. Es soll dem Citizen Lab zufolge etwa soziale Medien, Foren, Telegram-Gruppen und andere Orte im Netz überwachen können. Kund*innen können demnach etwa nach Namen, Telefonnummern oder E‑Mail-Adressen suchen, um sich online verfügbare Informationen über eine Person anzeigen zu lassen. Bereits 2024 hatte Österreich eine Lizenz für Tangles gezahlt; das Zusatzprodukt Webloc taucht in dem älteren Dokument jedoch nicht ausdrücklich auf.

Tracking-Forscher: „Das ist anlasslose Massenüberwachung.“

Der Wiener Tracking-Forscher Wolfie Christl kritisiert den Einsatz von Webloc. Auf Mastodon schreibt er:

Auch wenn Webloc ’nur’ zur Überwachung von Einzelnen genutzt wird, sammelt und analysiert es täglich Daten über Millionen Unbeteiligte. Das ist anlasslose Massenüberwachung. Diese komplett zweckentfremdete Nutzung von Werbedaten für staatliche Überwachung ist ein Dammbruch.

Die Daten, auf denen Werkzeuge wie Webloc basieren, hält Christl mit Blick auf die DSGVO für illegal. Niemand in der Lieferkette habe eine gültige Einwilligung, um solche Daten für staatliche Überwachung weiterzugeben. Eine solche Einwilligung bräuchte es aber – und zwar von jeder betroffenen Person. „Eine andere DSGVO-Rechtsgrundlage als die Einwilligung ist kaum denkbar“, schreibt Christl.

Getrennt davon zu betrachten sei die Frage, ob das Innenministerium eine Rechtsgrundlage für die Nutzung der Daten habe. „Die österreichische Datenschutzbehörde muss eine Untersuchung einleiten“, schreibt der Forscher.

Datenschutzbehörde in Österreich weiß nichts Näheres

Auf Anfrage von netzpolitik.org teilt die Datenschutzbehörde in Österreich mit, sie habe „keine näheren Kenntnisse über den geplanten Einsatz der genannten Software durch das BMI“. Demnach sei man auch nicht vom Ministerium dazu konsultiert worden. Eine solche Konsultation sei nötig, wenn eine Behörde bei einer Datenschutz-Folgenabschätzung ein hohes Risiko erkennen würde, erklärt der Sprecher.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Wird die Datenschutzbehörde nun aktiv? Eine klare Antwort gibt der Sprecher nicht, hält sich aber alle Türen offen: Man könne „jederzeit im Rahmen eines Beschwerde- oder amtswegigen Prüfverfahrens die Einhaltung datenschutzrechtlicher Vorgaben überprüfen“.

Mit dem nun bekannt gewordenen Lizenzdeal ist Österreich das zweite EU-Land auf der Kundenliste von Webloc. Im April berichtete das Investigativmedium VSquare, dass die ungarische Regierung unter dem inzwischen abgewählten Premier Viktor Orbán Webloc-Lizenzen gekauft habe. In den USA soll die paramilitärische US-Abschiebebehörde ICE das Werkzeug nutzen können, um gezielt Menschen anhand ihrer Handy-Standorte aufzuspüren.

Deutschland hält Databroker-Deals geheim

Verwenden auch deutsche Sicherheitsbehörden Werkzeuge wie Webloc, oder kaufen sie sich die Standortdaten einfach selbst ein? Die Bundesregierung macht daraus ein Staatsgeheimnis. Ende 2025 hat sie nach einer Anfrage der Bundestagsabgeordneten Donata Vogtschmidt (Die Linke) die Auskunft verweigert; damals ging es um Bundeskriminalamt (BKA) und Bundespolizei.

Auch in den Ländern mauern die Regierungen. Eine Recherche von netzpolitik.org und Bayerischem Rundfunk im Juni hat gezeigt: In neun Bundesländern will sich die Polizei nicht über mögliche Databroker-Deals äußern. Nur in fünf Bundesländern hatte die Polizei solche Deals verneint.

In Brandenburg habe die Polizei zwar Daten von „beispielsweise Wirtschaftsauskunfteien“ erworben, nicht aber kommerzielle Standortdaten. Einzig in Mecklenburg-Vorpommern hatte die Landespolizei eingeräumt, Standortdaten der Werbe-Industrie genutzt zu haben. Die dortige Datenschutzbehörde hat daraufhin eine Prüfung eingeleitet.

Opposition in Österreich: „nicht lockerlassen“

Wieso wollen sich so viele Behörden auf Bundes- und Landesebene nicht äußern? „Das Mauern gegenüber der Presse und uns allen lässt nichts Gutes ahnen“, sagte Florian Siekmann, innenpolitischer Sprecher der Grünen im bayerischen Landtag, mit Blick auf sein Bundesland. Und mit seiner Skepsis ist er nicht allein: In mindestens acht deutschen Bundesländern fordert die Opposition nach unseren Recherchen Aufklärung.

Auch in Österreich will die Opposition weiter Druck machen. Der grüne Abgeordnete Süleyman Zorba hatte bereits vergeblich versucht, Transparenz zu schaffen. „Erst hieß es, jede Auskunft gefährde die nationale Sicherheit. Nun ist der Einsatz der Software in öffentlichen Vergabeunterlagen dokumentiert“, fasst er gegenüber dem Standard zusammen.

„Ich werde nicht lockerlassen, bis Innenminister Gerhard Karner offenlegt, auf welcher gesetzlichen Grundlage das Ministerium handelt, welche Daten verarbeitet werden und wer deren Einsatz kontrolliert“, so Zorba weiter. Die Bevölkerung habe ein Recht darauf, zu erfahren, was mit ihren Daten geschieht.



Source link

Weiterlesen

Datenschutz & Sicherheit

Sicherheitslücken in Apples AirDrop und Androids Quick Share entdeckt


Sicherheitsforscher des CISPA Helmholtz-Zentrums für Informationssicherheit haben gleich drei Schwachstellen in Apples AirDrop-Funktion zur kabellosen Übertragung von Daten gefunden. Glücklicherweise kann keine der Lücken genutzt werden, um Schadcode auszuführen. Schlimm genug ist aber, dass sie dafür genutzt werden können, um Abstürze auszulösen. Weitere drei Sicherheitslücken wurden in Googles und Samsungs Quick Share aufgedeckt.

Weiterlesen nach der Anzeige

Arash Ale Ebrahim und Nils Ole Tippenhauer haben für ihre Untersuchung eigens das Testprogramm „AirFuzz“ entwickelt, ein Werkzeug, das automatisiert fehlerhafte oder manipulierte Datenpakete an AirDrop schickt, um Abstürze und Fehlverhalten zu provozieren. Im Fokus stand dabei die Anwendungsebene der Funktionen und nicht Schwachstellen auf der reinen Funkebene.

Zwei der drei AirDrop-Lücken lassen sich bereits auslösen, wenn AirDrop auf „Jeder“ steht. Die dritte wird erst nach Annahme einer Übertragung erreicht.

So reicht ein einzelner, fehlerhaft formatierter HTTP-Request aus, um den zuständigen Systemdienst sharingd abstürzen zu lassen. Das bringt nicht nur AirDrop zum Erliegen, sondern auch verwandte Funktionen wie AirPlay, Handoff und die Zwischenablage-Synchronisation zwischen Geräten.

Eine zweite Lücke steckt in der Verarbeitung von Property-Lists, einem internen Datenformat, und kann durch verschachtelte Datenstrukturen einen Speicherüberlauf auslösen. Eine dritte Schwachstelle in Apples Netzwerk-Framework lässt sich durch präparierte HTTP-Header provozieren.

Die Forscher betonen ausdrücklich, dass zehn verschiedene Versuche, die eigentliche Nutzerbestätigung für Dateiübertragungen zu umgehen, allesamt scheiterten – Apples Prüfung der Apple-ID hält demnach stand.

Weiterlesen nach der Anzeige

Bei Quick Share fanden die Forscher zwei Probleme in Samsungs Implementierung: Zum einen verarbeitet der Dienst bestimmte Datenpakete bereits, bevor der eigentliche Authentifizierungs-Handshake abgeschlossen ist. Zum anderen werden drei von sieben Nachrichtentypen auch dann verarbeitet, wenn sie entgegen der Spezifikation unverschlüsselt ankommen – ein Angreifer im selben WLAN könnte so etwa Verbindungen manipulieren oder Sitzungen künstlich am Leben halten.

Am gravierendsten ist ein Fund in Googles Quick-Share-Client für Windows: ein sogenannter Use-after-Free-Fehler, bei dem das Programm auf bereits freigegebenen Speicher zugreift. Diese Klasse von Fehlern lässt sich unter bestimmten Umständen zur Ausführung von Schadcode missbrauchen. Die Forscher konnten zwar einen zuverlässigen Absturz auslösen, aber keinen vollständigen Exploit entwickeln.

Apple hat die drei AirDrop-Lücken bestätigt, an Fixes wird laut den Forschern gearbeitet. Samsung hat seine beiden Funde an Google weitergereicht, da der betroffene Code aus Googles Quick-Share-Komponenten stammt; diese werden derzeit noch geprüft. Google hat die Windows-Lücke bestätigt und mit einer Bug-Bounty-Prämie belohnt.

Die Angriffe funktionieren nur aus relativer Funknähe von etwa 10 bis 30 Metern – ein Angreifer muss sich also physisch in der Nähe des Zielgeräts aufhalten. In dicht gedrängten Umgebungen wie Flughäfen, Bahnhöfen oder auf Konferenzen ließen sich damit aber theoretisch viele Geräte gleichzeitig ins Visier nehmen.

Da noch keine Patches vorliegen, empfiehlt sich vorerst Zurückhaltung: Wer AirDrop nicht aktiv nutzt, sollte den Modus meiden, mit dem einen jeder im Umkreis für einige Minuten sehen kann, oder zumindest so kurz wie möglich halten. Bei Quick Share gilt ähnliche Vorsicht in unbekannten Umgebungen mit aktivierter Sichtbarkeit für alle Geräte.


(mki)



Source link

Weiterlesen

Beliebt