In der vergangenen Woche hatten erste Windows-10-Rechner bei der Update-Suche angezeigt, dass in Kürze eine Registrierung für erweiterte Sicherheitsupdates verfügbar werden soll. Nun ist es offenbar so weit. Uns liegt ein Leserhinweis vor, dass dort nun ein Link auf die Registrierung erschienen ist.

Es handelt sich um Windows 10 in der Home-Edition, die Anmeldung erfolgte mit einem Admin-Konto. Damit setzt Microsoft das Versprechen um, erstmals auch Privatkunden-PCs mit erweiterten Sicherheitsupdates zu versorgen. Die „Extended Security Updates“ (ESU) sind im Europäischen Wirtschaftsraum (EWU) entgegen erster Ankündigungen jetzt sogar kostenlos – wenn auch eine Registrierung mit einem Microsoft-Konto nötig ist, was einer Zahlung mit Daten entspricht. Der offizielle Support für Windows 10 endet mit dem Patchday am 14. Oktober.

Vorbedingungen für erweiterten Windows-10-Support

Microsoft nennt weitere Voraussetzungen, die für das Angebot des (kostenlosen) erweiterten Supports erfüllt sein müssen: Windows 10 muss auf Stand 22H2 sein und eine Lizenz für Privatnutzer nutzen. Microsoft nennt Home, Professional, Pro Education oder Workstations Edition. Die aktuellen Windows-Updates müssen installiert und eine Nutzerin oder ein Nutzer mit Administratorrechten angemeldet sein. „Um sich zu registrieren, werden Sie aufgefordert, sich mit einem Microsoft-Konto anzumelden, wenn Sie sich normalerweise mit einem lokalen Konto bei Windows anmelden“, ergänzt das Unternehmen.

Um zu prüfen, ob bereits eine Registrierung für den erweiterten Support möglich ist, sollen Interessierte auf die Windows-Update-Suche gehen. Die findet sich in den „Einstellungen“ unter „Update & Sicherheit“ und dort dann unter „Windows Update“. „Wenn Ihr Gerät die Voraussetzungen erfüllt, wird ein Link zur Registrierung für ESU angezeigt“, verspricht Microsoft. Die Registrierung ermöglicht die Freischaltung auf insgesamt zehn Rechnern. Auf den anderen PCs müssen Betroffene ebenfalls auf die Update-Suche gehen und bei der angebotenen Registrierung lediglich das verwendete Microsoft-Konto angeben. Dann können sie die Option „Gerät hinzufügen“ auswählen.

(dmk)

Die Sicherheitssoftware IBM Security Verify Access und IBM Verify Identity Access zur Identitäts- und Zugangsverwaltung (IAM) ist für Angriffe anfällig. Vor drei Sicherheitslücken darin warnt IBM aktuell, von denen eine sogar als kritisches Risiko gilt.

IBM erörtert in der Sicherheitsmitteilung, dass lokale angemeldete Nutzerinnen und Nutzer ihre Rechte zu „root“ ausweiten können, da die Software mit höheren Rechten als nötig ausgeführt wird (CVE-2025-36356 / EUVD-2025-32573, CVSS 9.3, Risiko „kritisch„). Außerdem können angemeldete Nutzer bösartige Skripte von außerhalb ihres Kontrollbereichs ausführen (CVE-2025-36355 / EUVD-2025-32575, CVSS 8.5, Risiko „hoch„). Die dritte Schwachstelle ermöglicht nicht angemeldeten Nutzern, beliebige Befehle mit niedrigeren Nutzerrechten auszuführen, da die Software benutzerübergebene Daten nicht hinreichend prüft (CVE-2025-36354 / EUVD-2025-32574, CVSS 7.3, Risiko „hoch„).

Updates schließen die Schwachstellen

Die Schwachstellen bessert IBM mit den Versionen IBM Security Verify Access 10.0.9.0-IF3 und IBM Verify Identity Access 11.0.1.0-IF1 aus. Betroffen sind die Appliances sowie die Docker-Container der Sicherheitslösung. IT-Verantwortliche sollten die Updates auf diese Fassungen zeitnah anwenden. IBM rät dazu, das so schnell wie möglich zu erledigen.

Der Aufruf des Befehls docker pull icr.io/isva/verify-access:[tag] bringt IBM Security Verify Access auf den aktuellen Stand, für IBM Verify Identity Access erledigt das der Aufruf von docker pull icr.io/ivia/verify-access:[tag]. Die korrekten Tags dafür listet IBM auf einer eigenen Webseite auf.

Ende vergangenen Jahres hatte IBM vier Sicherheitslücken in Security Verify Access schließen müssen. Drei davon galten als kritisches Risiko. Zwei Lücken hatten hartkodierte Zugangsdaten zum Gegenstand – die ließen sich quasi als Backdoor zur unbefugten Anmeldung missbrauchen.

(dmk)

Nachdem eine Cyberattacke auf den größten japanischen Brauereikonzern zu einem mehrtägigen Produktionsstopp geführt hat, gibt es bei der Konkurrenz Probleme, den zusätzlichen Bedarf zu decken. Das berichtet die japanische Tageszeitung Yomiuri Shinbun, nachdem die betroffene Brauerei Asahi ihre Produktion Anfang der Woche wieder aufgenommen hat. Der Konzern hatte die Cyberattacke am 29. September eingestanden und laut Medienberichten später die Produktion in sechs japanischen Brauereien gestoppt. Zu dem Angriff hat sich inzwischen die Ransomware-as-a-Service-Gruppe „Qilin“ bekannt. Angeblich hat sie 27 Gigabyte an Daten entwendet. Was die Kriminellen verlangen und ob Asahi darauf eingegangen ist, ist unklar.

Kein Nachschub in Bars, Restaurants und Supermärkten

Der Brauereikonzern hat den Angriff am 29. September publik gemacht und die Folgen für die Produktion eingestanden. Nachdem die Produktion an mehreren japanischen Standorten gestoppt werden musste, wird sie inzwischen wieder hochgefahren. Einen Zeitplan dafür gibt es aber nicht. Die Folgen sind bereits landesweit zu spüren. Laut Yomiuri Shinbun sind die Vorräte von Restaurants und Lebensmittelläden teilweise zur Neige gegangen und die Konkurrenten konnten den gestiegenen Bedarf nicht decken. So hat die Brauerei Sapporo erklärt, dass zuerst die bestehende Kundschaft beliefert werden soll. „Wenn das so weiter geht, könnte es darin gipfeln, dass die Menschen kein Bier mehr bekommen“, zitiert die Zeitung den Chef einer Bar in Tokio.

Asahi ist vor allem für das japanische Bier Asahi Super Dry bekannt, die Brauerei vertreibt aber unter anderem auch die europäischen Biere Pilsner Urquell aus Tschechien, Grolsch aus den Niederlanden, Tyskie aus Polen und Peroni aus Italien. Von der Cyberattacke waren jetzt aber nur Produktionsstätten in Japan betroffen. Laut Asahi ging es dabei nicht nur um Bier, sondern auch um Softdrinks und Lebensmittel. Wann die Produktion wieder normal laufen soll und die Lieferschwierigkeiten behoben sein dürften, teilte Asahi nicht mit. Der Vorfall erinnert an die Geschehnisse bei dem britischen Automobilkonzern Jaguar Land Rover. Dort lag die Produktion aber sogar wochenlang still und zwischenzeitlich musste sogar die dortige Regierung mit einer Finanzhilfe einspringen.

(mho)