Um zu verhindern, dass Angreifer mehrere Sicherheitslücken in Atlassian Bamboo Data Center and Server, Confluence Data Center and Server sowie Crowd Data Center und Server ausnutzen, sollten Admins die nun verfügbaren Patches umgehend installieren.

Verschiedene Gefahren

Wie Atlassian im Sicherheitsbereich seiner Website auflistet, gelten drei Sicherheitslücken in den Komponenten Apache Tika (CVE-2025-66516), sha.js (CVE-2025-9288) und cipher-base (CVE-2025-9287) als „kritisch“. Sind Attacken an diesen Stellen erfolgreich, können Angreifer Daten manipulieren. Dafür muss ein Opfer in einem Fall aber eine präparierte PDF-Datei öffnen. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Nach erfolgreichen Attacken auf die verbleibenden Lücken können Angreifer unter anderem Dienste zum Absturz bringen (Denial of Service, DoS; etwa CVE-2022-25883 „hoch“) und somit lahmlegen oder sogar aus der Ferne Schadcode ausführen (CVE-2025-48734 „hoch“). Die folgenden Ausgaben sind gegen die geschilderten Attacken gerüstet:

• Bamboo Data Center and Server 12.1.2 (LTS) recommended Data Center Only, 10.2.14 to 10.2.15 (LTS) Data Center Only
• Confluence Data Center and Server 9.2.14 (LTS) Data Center Only, 9.2.15 recommended (LTS) Data Center Only, 10.2.3 (LTS) Data Center Only, 10.2.6 (LTS) recommended Data Center Only,
• Crowd Data Center and Server 7.1.4 recommended Data Center Only

(des)

Im Editor von Windows hat Microsoft am Februar-Patchday mit den Windows-Updates eine Sicherheitslücke in der Markdown-Verarbeitung geschlossen. Angreifer können durch das Leck Schadcode einschleusen. Jetzt gibt es detailliertere Informationen von Trend Micros Zero-Day-Initiative (ZDI), die zudem Admins Hilfestellung in Form von Filterregeln zum Abwehren von Angriffen liefert.

Die Analyse der Befehlsschmuggel-Lücke im Windows-Editor haben die IT-Forscher im Blog der ZDI veröffentlicht. Sie erklären dort, dass die Sicherheitslücke im Windows-Editor (notepad.exe) beim Verarbeiten von Markdown-Dateien auftritt und auf unzureichender Filterung von Links beruht. Angreifer können die Schwachstelle missbrauchen, indem sie potenzielle Opfer dazu bringen, eine bösartig manipulierte Datei herunterzuladen, sie zu öffnen und auf einen präparierten Link darin zu klicken. Ein erfolgreicher Angriff kann zur Ausführung von beliebigen Befehlen im Kontext des Opfer-Kontos führen (CVE-2026-20841, CVSS 7.8, Risiko „hoch“). Noch gibt es jedoch keine Hinweise auf aktive Exploits.

Sicherheitslücke im Standard-Text-Editor

Die ZDI-Mitarbeiter führen aus, dass der Standard-Windows-Editor notepad.exe bis vor Kurzem lediglich rudimentäre Editierfähigkeiten umfasste. In modernen Windows-Versionen kommt jedoch eine verbesserte und erweiterte Version des Editors standardmäßig mit. Die neue Version unterstützt mehr Dateiformate, Markdown-Beschreibungen und Copilot-Funktionen. Markdown erlaubt die Formatierung von Texten und unter anderem das Einbetten von Links, etwa in der Form [link-name](link/path). Die Trend-Micro-Forscher stellen die Schwachstelle bei der Verarbeitung bis auf Code-Ebene in ihrer Analyse dar.

Bei der Verarbeitung von Markdown kann der Editor auf das Klicken von Links reagieren. Dabei filtert er die Link-Werte und reicht sie an den Systemaufruf ShellExecuteExW() weiter. Diese Filterung reicht jedoch nicht aus, sie erlaubt die Nutzung von Protokoll-URIs wie „file://“ oder „ms-appinstaller://“. Damit lassen sich beim Aufruf von ShellExecuteExW() beliebige Dateien starten, die im Kontext des Opfers laufen. Je nach Systemkonfiguration können weitere Protokoll-Handler derartig missbrauchbar sein.

Angriffe erkennen und abwehren

Die IT-Forscher empfehlen daher, den Traffic auf bestimmten Ports genauer zu untersuchen und zu filtern: FTP (Port 20 und 21/TCP), HTTP (Port 80/TCP), HTTPS (Port 443/TCP), IMAP (Port 143/TCP), NFS (Ports 111/UDP+TCP, 2049/UDP+TCP), POP3 (Port 110/TCP), SMTP (Ports 25+587/TCP) sowie SMB/CIFS (Ports 139+445/TCP). Dabei sollte der Traffic nach Markdown-Dateien mit der Dateiendung .md untersucht werden. Bei Erkennung derartiger Dateien empfiehlt ZDI, den Inhalt auf Links mit Zeichenketten wie „file:“ oder „ms-appinstaller:“ zu durchforsten. Sind diese enthalten, stellen die IT-Forscher noch Regular Expressions bereit, mit denen sich Verweise auf Inhalte aus dem Netz aufspüren lassen: (\x3C|\[[^\x5d]+\]\()file:(\x2f|\x5c\x5c){4} für den file:-URI-Handler sowie (\x3C|\[[^\x5d]+\]\()ms-appinstaller:(\x2f|\x5c\x5c){2} für den ms-appinstaller:-URI-Handler. Treffer mit diesen Regeln sollten als bösartig eingestuft werden.

Nicht nur der Windows-Editor ist von Schwachstellen betroffen. So hat der populäre Texteditor Notepad++ jüngst mit einem Sicherheitsupdate eine Codeschmuggel-Lücke geschlossen.

(dmk)

Es beginnt mit einem harmlosen „Hallo“ auf der Internetplattform Threads. Die Rentnerin aus dem Landkreis Karlsruhe, die lieber anonym bleiben möchte, wundert sich über den fremden Mann, der ihr da schreibt – und fragt arglos nach. „Dein Foto gefällt mir“, textet der Mann zurück, der mit hellblauer Wollmütze bekleidet auf seinem Instagram-Profil so freundlich dreinblickt. Über Wochen schicken sich die beiden Nachrichten, jeden einzelnen Tag, manchmal dreimal am Tag, erzählt sie.

Bis es ihr merkwürdig vorkommt. Bis sie Verdacht schöpft, weil der Schreibstil sich manchmal ändert oder sie manchmal mitten im Text gesiezt wird. Von sogenannten Love-Scammern, die ihre möglichen Opfer wahllos in sozialen Netzwerken anschreiben, um sie erst mit Liebesschwüren und dann mit Geldforderungen zu überhäufen und um teils erhebliche Summen bringen, wusste sie da noch nichts.

Dabei ist Love-Scamming eine mittlerweile bekannte Betrugsmasche, auf die immer mehr Menschen hereinfallen. Das Landeskriminalamt (LKA) in Stuttgart verzeichnet seit Jahren stetig ansteigende Fallzahlen. Unter Berufung auf eine repräsentative Umfrage berichtete der Kreditkartenanbieter Visa im Sommer 2024, dass drei von fünf Menschen die Masche inzwischen kennen und jeder siebte Befragte schon einmal Ziel von Liebesbetrug war.

Verbraucherzentralen und die Polizei warnen seit Jahren regelmäßig vor dieser Form des Betrugs. Auch auf Flirt- und Partnerschaftsportalen sind diese Art von Scams ein Problem: Schätzungen zufolge liegen sie im niedrigen zweistelligen Prozentbereich, schreibt Professor Martin Steinebach vom Fraunhofer-Institut für Sichere Informationstechnologie. Künstliche Intelligenz (KI) gibt den Betrügern so ausgefeilte Werkzeuge an die Hand, dass es potenziellen Opfern unmöglich ist, echte von gefälschten Bildern oder Dialogen zu unterscheiden, sagt er.

Schema immer gleich

Die Dunkelziffer ist hoch und das Schema immer gleich: Die Liebesbetrügerinnen und -betrüger erstellen Fakeprofile auf sozialen Netzwerken und präsentieren sich – als erfolgreiche Singles, die angeblich viel im Ausland unterwegs sind. „Love Scammer tischen Ihnen als potenziellem Opfer in der Regel ungewöhnliche Lebensgeschichten auf, um sich interessant zu machen“, heißt es von der Verbraucherzentrale Baden-Württemberg.

Doch sobald es um ein persönliches Treffen gehe, ändere sich die Vorgehensweise: „Plötzlich stecken die Scammer angeblich in Schwierigkeiten und haben Probleme, bei denen sie Ihre Hilfe brauchen.“ Dann folgen Bitten ums Geld.

Der freundliche Kontakt der Rentnerin zum Beispiel gab sich als Bauingenieur namens Arthur aus, halb Deutscher, halb Engländer, alleinerziehender Vater einer 12 Jahre alten Tochter namens Tracy. Beruflich viel auf Baustellen im Ausland unterwegs und derzeit in Istanbul arbeitend. Die Tochter sei im Internat in England.

Zahl der Fälle steigt stetig

Die Zahl der im Südwesten verzeichneten Fälle steigt seit Jahren stetig an und ist laut LKA inzwischen knapp vierstellig. Im Südwesten wurden allein seit Anfang dieses Jahres mehrere happige Liebesbetrugsfälle bekannt. In den vergangenen zwölf Monaten überwiesen arglose Opfer insgesamt rund 14 Millionen Euro an ihre vermeintlichen Geliebten, im Jahr 2024 waren es laut LKA sogar rund 18 Millionen Euro. International hat sich eine regelrechte Love-Scam-Industrie entwickelt, die von Ländern in Südostasien oder auch afrikanischen Ländern wie Ghana oder Nigeria aus operiert.

Warum nur ist diese Masche so erfolgreich? Warum ist kein Ende abzusehen? „Eventuell steigen die Fallzahlen ja auch nur an, weil es mehr Angriffsversuche gibt“, sagt Steinebach. Diese seien durch KI natürlich deutlich leichter geworden. „Wo man früher Fotos noch ‚mühsam‘ aus Social-Media-Profilen zusammensuchen musste, kann man inzwischen seinen Lockvogel per KI erzeugen und dann beliebige Szenen mit diesem erstellen.“ Ebenso ließen sich Liebesbriefe und andere Lockmittel sehr einfach mit Sprachmodellen wie ChatGPT et cetera erstellen. Dank professioneller Übersetzungsprogramme kann in nahezu jeder Sprache nahezu fehlerfrei geschmachtet werden.

Hinzu kommen die Einsamkeit und Bedürftigkeit von Menschen, die sich nach Ansprache und Zuwendung sehnen und sich endlich mal mit einem vermeintlich wohlmeinenden Gegenüber über Ängste, Sorgen oder einfach alltägliche Erlebnisse austauschen können. „Sowohl Scam-Männer als auch Scam-Frauen schaffen es, sich im täglichen Leben ihrer Opfer unverzichtbar zu machen“, warnt das LKA.

Die Rentnerin hatte Glück im Unglück. Als ihr Scammer ihr Fotos der angeblichen Tochter und auch von sich selbst auf angeblichen Baustellen schickte, merkte sie: Die Bilder zeigen verschiedene Menschen. Und auf einer Baustelle hatte sich der Unbekannte einfach ins Bild reinkopiert.

Sie brach den Kontakt ab. „Aber der Schmerz in der Seele bleibt“, sagt sie. Der Scammer hat sein Instagram-Profil inzwischen auf „privat“ gestellt und das Pudelmützenbild gelöscht. Aber seit einigen Tagen lächelt ein neues Foto dort die User an. Der Name des Instagram-Kontos wurde seit 2018 sechsmal gewechselt. Letzter Standort von Arthur ist nicht Istanbul. Sondern Ghana.

(dmk)