Connect with us

Datenschutz & Sicherheit

Angreifer können Citrix NetScaler ADC und NetScaler Gateway lahmlegen


Citrix NetScaler ADC und NetScaler Gateway sind verwundbar, und Angreifer können Instanzen mittels DoS-Attacken zum Erliegen bringen. Dadurch können unter anderem wichtige Netzwerkbereiche in Unternehmen nicht erreichbar sein. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen.

Weiterlesen nach der Anzeige

Das Softwareunternehmen weist darauf hin, dass die Cloudinstanzen bereits verarztet sind. Admins, die Instanzen selbst hosten, müssen handeln.

Bis auf eine Sicherheitslücke (CVE-2026-10817 „mittel“) sind alle weiteren (CVE-2026-8451, CVE-2026-8452, CVE-2026-8655, CVE-2026-10816, 13474) mit dem Bedrohungsgrad „hoch“ eingestuft. In allen Fällen müssen bestimmte Voraussetzungen gegeben sein, damit Attacken überhaupt möglich sind. Diese und weitere Informationen führen die Entwickler in einer Warnmeldung aus.

In einem Fall muss etwa die Single-Sign-On-Komponente SAML IDP aktiv sein. Ist das gegeben, können Angreifer auf einem nicht näher beschriebenen Weg einen Speicherfehler auslösen. In so einem Kontext kommt es oft zur Ausführung von Schadcode und somit zur vollständigen Kompromittierung von Systemen.

Die DoS-Attacken gehen ebenfalls auf Speicherfehler zurück und Dienste können abstürzen. Damit das klappt, muss NetScaler ADC etwa als DNS-Proxy konfiguriert sein. In einem anderen Fall können präparierte HTTP/2-Anfragen für Probleme sorgen und Abstürze auslösen. Dafür muss aber vorab das HTTP/2-Profil aktiviert sein. Angreifer können aber auch unbefugt auf Dateien zugreifen und diese lesen.

Um solchen Attacken vorzubeugen, müssen Admins eine der folgenden Versionen installieren. Alle vorigen Ausgaben sind verwundbar.

  • NetScaler ADC und NetScaler Gateway 14.1-72.61
  • NetScaler ADC und NetScaler Gateway 13.1-63.18
  • NetScaler ADC 14.1-FIPS 14.1-72.61 FIPS
  • NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1.37.272

Weiterlesen nach der Anzeige

Zuletzt sorgte Citrix Ende März mit Attacken auf Gateway und NetScaler ADC für Schlagzeilen.


(des)



Source link

Datenschutz & Sicherheit

Gesetzentwurf zu KI bei Asyl- und Visumsverfahren: „Da sollten die Alarmglocken schrillen“


Schon der frühere SPD-Bundeskanzler Olaf Scholz wollte Künstliche Intelligenz in Asylverfahren einsetzen. „Moderne“ Anwendungen sollen dazu beitragen, „Routineentscheidungen schnell und in großer Qualität“ zu treffen, verkündete er bei einem Besuch des Bundesamts für Migration und Flüchtlinge (BAMF) im Sommer 2024.

Der Digitalminister der aktuellen schwarz-roten Regierung, Karsten Wildberger (CDU), sagte im Oktober, KI könne künftig „grundsätzlich“ über Asylgesuche entscheiden. Bei „sensiblen, wichtigen Entscheidungen“ müsse aber „ein Mensch drüberschauen“.

Nun will die Bundesregierung Fakten schaffen. Das Bundesinnenministerium arbeitet an einem Gesetzentwurf für den „Einsatz künstlicher Intelligenz in der Migrationsverwaltung“, dessen aktuellen Entwurf wir veröffentlichen. Wichtig dabei ist: „Migrationsverwaltung“ meint mehr als Asylanträge. Es geht dabei unterem auch um den Umgang mit Menschen, die keinen Asylstatus bekommen haben und etwa abgeschoben werden sollen. Und um Visumsverfahren, die bei der Ankündigung des Gesetzesvorhabens im vergangenen Jahr noch im Vordergrund standen.

Auswärtiges Amt und Bundesinnenministerium hatten damals gemeinsam ein Eckpunktepapier verfasst, das wir über eine Informationsfreiheitsanfrage erhalten haben. Dort hieß es:

Der Einsatz von KI im Visumverfahren setzt dabei den ersten Schritt, der dann auf weitere Migrationsbereiche ausgeweitet werden kann.

„KI für die gesamte Migrationsverwaltung“

Im aktuellen Referentenentwurf von Ende Juni aus dem Bundesinnenministerium sieht nichts mehr nach einem „ersten Schritt“ aus. Auf Anfrage von netzpolitik.org bestätigt ein Sprecher des Innenministeriums: „Der Einsatz von KI soll für die Migrationsverwaltung insgesamt Anwendung finden, das heißt insbesondere im Visumverfahren und aufenthaltsrechtlichen Verfahren, aber auch im Asylverfahren.“

Das Innenministerium will dafür das Asyl- und Aufenthaltsgesetz ändern, neue Paragrafen sollen die Grundlage für ein „automatisiertes Verfahrensmonitoring“ und den „automatisierten Abgleich mit öffentlich zugänglichen Daten aus dem Internet“ schaffen. Außerdem regelt der Entwurf, wie Behörden auch personenbezogene Daten nutzen dürfen, um KI-Systeme zu entwickeln. Das soll nicht nur für die Behörden gelten, an die man bei Migration und Asyl unmittelbar denkt – also etwa BAMF und Ausländerbehörden.

KI-Training auch für Polizei und Jobcenter

Die Regelungen würden für alle gelten, die mit der Umsetzung von Asyl- und Aufenthaltsgesetz zu tun haben. Das sind beispielsweise das Auswärtige Amt mit seinen Auslandsvertretungen, aber auch Polizeien, das Bundesverwaltungsamt, Jobcenter, Geheimdienste und andere. Sie dürften dann Daten „insbesondere zum Trainieren, Validieren und Testen von automatisierten Anwendungen“ nutzen – wenn sie diese im Rahmen von Asyl- und Aufenthaltsgesetz erhoben haben.

Nora Oppermann, Junior Policy Managerin bei der NGO AlgorithmWatch, schreibt dazu gegenüber netzpolitik.org: „Der Entwurf für das KI-Migrationsverwaltungsgesetz erlaubt nicht weniger als die systematische Ausbeutung von persönlichen Daten aus dem Migrationsprozess. Damit sollen neue KI-Systeme entwickelt werden, für die der Entwurf nahezu keine Begrenzungen vorsieht.“ Von einer regelbasierten Dokumentenerkennung bis zur vollautomatisierten Risikoeinschätzung sei „durch die pauschalen Formulierungen alles denkbar“, so Oppermann.

Sie fordert eine fundierte Diskussion, welche Entscheidungen in der Migrationsverwaltung abgegeben werden sollen, denn: „Schließlich geht es nicht um die richtige Formulierung für einen Gastbeitrag in der Zeitung, sondern um menschliche Schicksale und die Zukunft unserer Gesellschaft.“

Von „allgemein“ zu „individuell“

Das „automatisierte Verfahrensmonitoring“ soll sowohl für Asylverfahren als auch für aufenthaltsrechtliche Verfahren gelten. Es diene, so besagen es die geplanten Paragrafen, „ausschließlich der Gewinnung verallgemeinerungsfähiger Erkenntnisse, um die Verfahren weiterzuentwickeln, zu beschleunigen und die Qualität der Entscheidungen zu verbessern“.

Deine Daten landen bei der Polizei.

Wir decken es auf. Mit deiner Unterstützung.

Was auf den ersten Blick nach Prozessoptimierung mit wenigen Auswirkungen auf individuelle Asyl- oder Aufenthaltsverfahren klingt, kann sich aber ganz direkt auf neue Antragsprozesse auswirken. Mögliche Ideen, welche Hinweise ein solches Monitoring geben könnte, offenbart die Gesetzesbegründung.

Die Behörden könnten etwa die Informationen aus bisherigen Aufenthaltsverfahren mit denen eines aktuellen Antrags vergleichen und miteinander in Zusammenhang bringen – „werden Anträge von Personen mit bestimmten Eigenschaften besonders häufig abgelehnt oder positiv beschieden“. Oder die Plausibiltät von Angaben prüfen – „kommen Menschen mit bestimmten Namen typischerweise aus einer bestimmten Region und besuchen dort bestimmte Schulen“. Auch eine Art Alarm bei vermeintlich auffälligen Konstellationen kann sich das Innenministerium vorstellen – „beantragen Antragsteller mit dem vorgetäuschten Abschluss einer bestimmten Universität an einem bestimmten Ort besonders häufig den gleichen Aufenthaltstitel“.

Wer prüft die KI?

Doch was passiert dann mit diesen Angaben? Was wäre die Konsequenz daraus, wenn jemand ein Fachkräftevisum beantragt und zufällig von einer Hochschule kommt, die Betrüger:innen vorher schon häufiger als Referenz angegeben hatten? Was passiert, wenn eine Asylsuchende einen wenig gebräuchlichen Vornamen für ihre Herkunftsregion hat, etwa weil ihre Eltern wiederum Wurzeln in einer anderen Region haben?

Das Innenministerium beteuert, dass die individuelle Prüfung „vollständig in der Verantwortung der zuständigen Mitarbeitenden“ liege. Das heißt: Im Idealfall würden Bearbeiter:innen ein paar gezielte Fragen stellen, um sich statistische Auffälligkeiten erklären zu lassen. Aber bereits in der Vergangenheit kam es bei neuen Technologien im Asylbereich vor, dass sich Sachbearbeitende zu sehr auf die maschinell generierten Ergebnisse verlassen haben. Das nennt sich „automation bias“ und kann zu falschen Einschätzungen führen.

„Auf dem Rücken einer besonders vulnerablen Gruppe“

Verstärkt wird diese Sorge durch die Erläuterung, die Erkenntnisse sollten „in die zukünftige Prüfungsintensität der Einzelfallentscheidungen über einen Antrag“ einfließen. Das entspricht offenbar der Überzeugung, es gebe „Routineentscheidungen“, die mit maschineller Unterstützung schnell zu den Akten gelegt werden können.

Die Juristin Sarah Lincoln kritisiert diese Entwicklung. Sie ist Legal Director bei der Gesellschaft für Freiheitsrechte und bearbeitet insbesondere Fälle aus dem Migrations‑, Sozial- und Antidiskriminierungrecht. Lincoln schreibt: „Die Bundesregierung plant den Einsatz fehleranfälliger und diskriminierungsaffiner KI-Systeme ausgerechnet im Asylverfahren, wo über individuellen Schutz und Menschenleben entschieden wird und eine umfassende Einzelfallprüfung besonders wichtig ist.“ Auch wenn der Gesetzentwurf betont, dass KI nur unterstützen solle, „werden automatisierte Hinweise die behördliche Praxis im Einzelfall regelmäßig vorprägen und darüber entscheiden, welche Aspekte überhaupt noch vertieft geprüft werden“, fürchtet Lincoln. „Es ist ein wiederkehrendes Problem, dass gerade im sensiblen Migrations- und Asylrecht auf dem Rücken einer besonders vulnerablen Gruppe ohne Rücksicht auf  Datenschutz und individuelle Grundrechte neue Technologien erprobt werden.“

Clara Bünger, innen- und fluchtpolitische Sprecherin der Linken im Bundestag, schreibt gegenüber netzpolitik.org: „Im Referentenentwurf ist davon die Rede, dass die personellen und organisatorischen Kapazitäten nicht ausreichen, um Verfahren im Migrationsrecht innerhalb der vorgesehenen Fristen zu bearbeiten. Das soll ausgerechnet mit dem Einsatz von KI ausgeglichen werden.“ Da sollten „die Alarmglocken schrillen“, so Bünger. KI tendiere dazu, Vorurteile zu verstärken und marginalisierte Gruppen zu benachteiligen, gerade wenn die Ergebnisse nicht sorgfältig überprüft werden. Daher schreibt sie: „Wenn es in den Behörden keine ausreichende Ausstattung mit gut qualifiziertem Personal gibt, ist genau das absehbar nicht gewährleistet.“

Behörden sollen automatisiert Social-Media-Plattformen durchsuchen können

Der „automatisierte Abgleich mit öffentlich zugänglichen Daten aus dem Internet“ dient laut Gesetzentwurf dazu, bei Zweifeln an Angaben aus einem Antrag automatisiert Informationen aus dem Netz abzugleichen. Dazu sollen Daten genutzt werden dürfen, die sich „nicht an einen spezifisch abgegrenzten Personenkreis richten“. Also Informationen aus Social-Media-Plattformen, Foren oder anderen Datenquellen, die nicht nur mit einem bestimmten Kreis an Personen geteilt wurden. Ein Sprecher des Innenministeriums schreibt: „Konkretisierend fallen darunter Daten, die jede Person ohne oder nach vorheriger Registrierung, Genehmigung oder Entgeltzahlung nutzen kann.“

Eine Behörde könnte damit beispielweise in Instagram-Accounts nach Hinweisen suchen, ob eine Person zu einem bestimmten Zeitpunkt an einem bestimmten Ort gewesen ist. Oder auf LinkedIn schauen, ob dort Angaben zum beruflichen Werdegang mit den Angaben im Antrag übereinstimmen. Oder nach Quellen wie etwa Medienberichten zu einem geschilderten Ereignis suchen.

In die Entscheidung über etwa Asyl- oder Visumsanträge soll das „nur nach einer qualifizierten fachlichen Prüfung einfließen dürfen“.

Die Regelung ist eine Fortführung der sogenannten OSINT-Recherchen, die bereits heute stellenweise bei Asyl- und Aufenthaltsverfahren durchgeführt werden. Dabei suchen Behördenmitarbeiter:innen im Netz nach Informationen, um Angaben der Antragstellenden zu prüfen. Gibt es etwa Facebook-Profile des Antragstellers, die zu den Angaben passen? Auch in Seminaren zum „strategischen Rückkehrmanagement“ spielen OSINT-Techniken eine Rolle. Eine rechtliche Klarstellung dazu wünschte sich 2023 das Bayerische Landesamt für Asyl und Rückführungen, als der Bundestag das „Gesetz zur Verbesserung der Rückführung“ debattierte. Nun soll diese OSINT-Recherche nicht nur punktuell durch Mitarbeitende möglich werden, sondern durch automatisierte Tools.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Diskriminierung verboten?

Ein Grundproblem bei der Nutzung automatisierter Systeme ist es, dass sie Diskriminierungen und Verzerrungen reproduzieren und verstärken können. Im Gesetzentwurf heißt es dazu, Behörden müssten sicherstellen, „dass diskriminierende Algorithmen weder herausgebildet noch verwendet werden“. Die Begründung statuiert: „Damit wird dem Risiko algorithmischer Verzerrungen und unzulässiger Ungleichbehandlungen Rechnung getragen.“

Die Formulierung aus dem Gesetz ist wortgleich zu der aus dem hessischen Polizeigesetz, bei der es um automatisierte Datenanalyse für die Polizei geht. Gegen das Gesetz liegt aktuell eine Verfassungsbeschwerde vor.

Wie eine solche Diskriminierung verhindert werden soll und welche Schritte Behörden dafür durchführen müssen, erklären weder Gesetzestext noch Erläuterungen. Es findet sich lediglich ein allgemeiner Verweis auf Risikomanagementsysteme nach der KI-Verordnung der EU.

Lena Rohrbach von Amnesty International findet, das reicht nicht aus. Gerade weil die Schutzregeln der KI-Verordnung für Hochrisiko-Systeme nun durch ein weiteres EU-Gesetz erst später in Kraft treten. So entstehe laut der Fachreferentin für Menschenrechte im digitalen Zeitalter „eine klaffende Schutzlücke“. „Da die Entwürfe keine Transparenzvorgaben enthalten und die KI-Verordnung Ausnahmen von ihren Transparenzregeln für Migrationsbehörden vorsieht, wäre für Betroffene, Journalist*innen und Zivilgesellschaft kaum nachvollziehbar, welche Behörden KI einsetzen, um welche Systeme es sich handelt und welche Risiken damit einhergehen.“

Und es erscheint auch widersprüchlich, dass Systeme auf der einen Seite Auffälligkeiten entdecken und Prüfintensitäten steuern sollen, auf der anderen Seite aber nicht diskriminieren dürfen.

Dabei kann es leicht zu selbstverstärkenden Effekten kommen. Das lässt sich am oben bereits genannten Anwendungsfall illustrieren: bei Visumsanträgen könnten Menschen von einer bestimmten Hochschule besonders intensiv geprüft werden, weil an dieser schon Betrugsfälle gab. Bei diesen Prüfungen werden sich in manchen Fällen wiederum weitere Auffälligkeiten ergeben. Bei „Routineentscheidungen“ von Antragsteller:innen einer anderen Hochschule würde häufiger nichts auffallen, denn hier schaut man nicht gesondert hin.

Diese Probleme sind bereits an automatisierten Systemen in den Niederlanden deutlich geworden. Ein Verfahren, das dort zur Prüfung von Visumsanträgen genutzt wurde, diskriminierte Menschen mit bestimmten Staatsangehörigkeiten und Eigenschaften. So wurden beispielsweise unverheiratete, nepalesische Männer zwischen 35 und 40 Jahren als Risikogruppe markiert.

Wie es mit dem Gesetz weitergeht

Derzeit befindet sich das geplante Gesetz im Stadium eines Referentenentwurfs. Das heißt, es ist noch nicht innerhalb der Regierung abgestimmt. Das Innenministerium hat den Entwurf an Verbände geschickt, damit diese Stellung nehmen können. Mitte Juli soll es dann vom Bundeskabinett beschlossen werden. Dann kann nach der sitzungsfreien Zeit im Sommer der parlamentarische Prozess im Bundestag starten.

Clara Bünger von den Linken im Bundestag kündigt an, dass sie sich gegen den Gesetzesvorschlag einsetzen wird: „Der Entwurf ist eine Komplettaufgabe von Grundregeln des Datenschutzes. Wieder einmal werden Grundrechtseinschränkungen zuerst an Schutzsuchenden getestet, weil sie eine geringe Beschwerdemacht haben. Später droht die Ausweitung auf andere Gruppen. Wir müssen dem jetzt einen Riegel vorschieben.“

Auch Wiebke Judith, rechtspolitische Sprecherin bei Pro Asyl, warnt eindringlich davor, „vorschnelle und breite Gesetzesgrundlagen zu schaffen“, denn „das geplante KI-Migrationsverwaltungsgesetz könnte die Weichen für Asyl‑, Visums- und Aufenthaltsverfahren komplett neu stellen“. Es drohten „neue Intransparenzen, unkritisch übernommene Fehleinschätzungen und kalte Maschinenlogik“. Sie schreibt: „Wenn KI-Anwendungen eingeführt werden sollen, sollten diese vorher von unabhängigen Expert*innen gründlich auf mögliche Grundrechtsverletzungen und negative Auswirkungen auf die Fairness der behördlichen Verfahren geprüft werden. Und es muss klar sein: Existenzielle Entscheidungen wie die über einen Asylantrag müssen in menschlicher Hand bleiben und dürfen nicht durch KI beeinflusst werden“.



Source link

Weiterlesen

Datenschutz & Sicherheit

Android 17: Google erschwert das Knacken der Bildschirmsperre


Google baut die Android-Sicherheit weiter aus. Die nun im Detail angekündigten strengeren Schutzmaßnahmen für den Sperrbildschirm von Android 17 hat das Unternehmen erstmals im Mai während der Android Show: I/O Edition erwähnt. Diese neuen Maßnahmen sollen es Unbefugten erschweren – etwa im Falle eines Diebstahls –, den Sperrbildschirm zu durchbrechen und sich Zugang zu einem fremden Smartphone zu verschaffen.

Weiterlesen nach der Anzeige

Wie die neue Sicherheitsfunktion in Android 17 funktioniert, hat der Googler Mishaal Rahman erläutert. Er schreibt auf X, dass die Anzahl der Eingabeversuche drastisch reduziert werde: Noch unter Android 16 waren in der ersten Minute bis zu 10 Versuche, in 6 Minuten 20, in 25 Minuten 50, in 24 Stunden 110 und in 5 Jahren 1800 Versuche zulässig.

Zwar sei dies für zufällig gewählte PINs und Passwörter recht sicher, jedoch wählten die meisten Menschen ihre PIN oder ihr Passwort nicht zufällig aus. „Angreifer können eine erhebliche Erfolgsquote beim Knacken von Geräten erzielen, indem sie PINs oder Passwörter in absteigender Häufigkeit eingeben, und wenn sie irgendetwas über Sie wissen (wie beispielsweise Ihren Geburtstag), steigt diese Erfolgsquote nur noch weiter an“, so Rahman.

Mit Android 16 QPR2 hat Google eine Änderung vorgenommen, die auch in Android 17 beibehalten wird. Die neuen Richtlinien erlauben nun nur noch sechs Eingabeversuche in der ersten Minute, sieben innerhalb von sechs Minuten, acht innerhalb von 25 Minuten, 12 innerhalb von 24 Stunden und lediglich 19 Versuche über einen Zeitraum von fünf Jahren. Nach 20 falschen Versuchen seien keine weiteren Versuche mehr zulässig.

Weiterlesen nach der Anzeige

Damit Besitzer nicht aus ihren Geräten ausgesperrt bleiben, hat Google zusätzliche Features eingeführt: So gebe es unter Android eine Ausnahmeregelung für wiederholte Eingaben. Wenn Nutzer also versehentlich dieselbe falsche PIN mehrmals eingeben, werden diese doppelten falschen Eingaben nicht mehr auf das Limit für fehlgeschlagene Versuche angerechnet, erklärt der Googler. Stattdessen erkenne das System den wiederholten Fehler, ignoriere ihn und zeige eine spezielle Meldung an, in der erklärt wird, warum der Versuch nicht gezählt wurde.

Google verändert außerdem die Benutzererfahrung auf dem Sperrbildschirm bei längeren Sperrzeiten. Anstelle großer Countdowns in Sekunden zeigt Android 17 „besser lesbare Zeiteinheiten an“. Zum Beispiel: „Versuchen Sie es in 30 Minuten erneut“ statt „Versuchen Sie es in 1800 Sekunden erneut“.

Überdies zeigt Android 17 auf dem Sperrbildschirm eine neue Verknüpfung zur Wiederherstellung an, damit Nutzerinnen und Nutzer die Optionen zur Kontowiederherstellung von einem anderen Gerät aus einfacher finden können.

Um eine mögliche Rückgabe von gestohlenen Geräten zu vereinfachen, könne die IMEI eines Geräts künftig über den Sperrbildschirm auf Geräten mit Android 12 oder neuer abgerufen werden. Laut Google können Strafverfolgungsbehörden, Gerätehersteller oder Mobilfunkbetreiber diese eindeutige Gerätekennung nutzen, um die Eigentumsverhältnisse einfach zu überprüfen und das Gerät den rechtmäßigen Besitzern zurückzugeben. Diese Funktion könne jederzeit in den Geräteeinstellungen deaktiviert werden.


(afl)



Source link

Weiterlesen

Datenschutz & Sicherheit

Exploitarium: Anonymer Sicherheitsforscher veröffentlicht zwei Dutzend Zero-Days


Ein Unbekannter mit dem sommerlichen Pseudonym „Bikini“ hat auf der Codesharing-Plattform Github Proof-of-Concept-Code für knapp zwei Dutzend Sicherheitslücken veröffentlicht – nach eigener Aussage allesamt bislang ungefixte Zero-Days. Darunter befinden sich Exploits für PHP, OpenVPN, VLC und andere Projekte. Die Schwere der Sicherheitslücken variiert von Informationslecks bis zu Codeeinschleusung. Wer will, kann die Lücken an den Hersteller melden, um Ruhm einzuheimsen.

Weiterlesen nach der Anzeige

Im Github-Repository „Exploitarium“ finden sich alle Lücken mit einer kurzen README, die wie Teile der eigentlichen Lückenfindung KI-generiert ist. Im Einzelnen sind folgende Projekte betroffen:

  • 7-Zip 26.01 (Windows)
  • AnyDesk 9.7.6 (Windows)
  • c-ares
  • Docker Engine 29.6.0
  • FFmpeg: RASC-Decoder
  • Firefox 152.0.2 (Windows)
  • Floci 1.5.27 API Gateway
  • Flowise 3.1.2 / flowise-components 3.1.2
  • Ghidra 12.1.2
  • Gitea
  • ImageMagick 7.1.2-25 mit Ghostscript 10.07.1 (Windows)
  • libssh2 (PoC für CVE-2026-55200 sowie für neue Lücke unter Windows)
  • Lunar Client
  • MyBB 1.8.40
  • nghttp2 1.69.0
  • nmap
  • objdump
  • OpenVPN 3.11.3 sowie OpenVPN Connect für Windows 3.8.0
  • PHP 8.5.7
  • RustDesk
  • SystemInformer 4.0.26162.539 (Windows)
  • VLC 3.0.23 (Windows)

Wie der unbekannte Sicherheitsforscher selber schreibt, sind manche seiner Funde „ein bißchen schrottig“, manche seien aber besser. Er nutzte KI für Handreichungen bei der Lückensuche, betont jedoch, dass fast alle PoCs handkodiert seien. Bis auf eine Lücke – CVE-2026-55200 – gibt es weder CVE-Kennungen noch CVSS-Punkte oder andere Zusatzinformationen. Potenziell Betroffene müssen diese aus den jeweiligen Readmes und dem PoC-Code extrahieren oder auf Bearbeitung durch die Hersteller warten. Auf die Hintergründe von CVE, CVSS und anderen Metadaten für Sicherheitslücken geht der Podcast „Passwort“ in seiner aktuellen Folge ausführlich ein.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Die Motivation hinter dem Exploitarium sei Nachwuchswerbung, schreibt der Anonymous. Er schenkt die Funde der Öffentlichkeit und betont, dass ein jeder sie an die betroffenen Hersteller melden dürfe, um einen CVE dafür „einzuheimsen“. Der Sicherheitsforscher habe sich zu diesem Vorgehen entschlossen, um „Leute in das Feld [der Exploitsuche, d.R.] zu locken“, er empfinde es als „effizientesten Weg“ der Nachwuchswerbung.

Weiterlesen nach der Anzeige

KI-generierte Sicherheitslücken überschwemmen in den vergangenen Monaten in einer Art „Vulnokalypse“ die Bug-Bounty-Programme vieler Hersteller und führen zu spürbaren Abnutzungserscheinungen. Das cURL-Projekt hat daher den „Summer of Bliss“ ausgerufen und bearbeitet im Juli keine Fehlermeldungen.


(cku)



Source link

Weiterlesen

Beliebt