Wenn eine Behörde einen anderen Namen bekommt, verursacht das jede Menge Aufwand: Vom Hinweisschild bis zum Briefpapier müssen viele Details aktualisiert werden. Nicht zuletzt bekommen die Ämter dann meist auch eine neue Domain.
So lief es auch beim BAMF, dem Bundesamt für Migration und Flüchtlinge. Bis 2005 hieß die Asylbehörde noch Bundesamt für die Anerkennung ausländischer Flüchtlinge, kurz: BAFl. Der neue Name sollte widerspiegeln, dass das jetzige BAMF auch für Migration und Integration zuständig ist und sich seine Aufgaben erweitert hatten. Und so wechselte das Bundesamt auch die Adresse, unter der es im Netz erreichbar war.
Aus bafl.de wurde bamf.de. Noch einige Jahre nach der offiziellen Umbenennung, mindestens bis zum Jahr 2013, leitete die alte Domain Besucher:innen auf die neue BAMF-Seite weiter. Doch irgendwann stieß der Bund die nicht mehr benötigte Web-Adresse ab. Der neue Name hatte sich längst etabliert. Die alte Domain geriet in Vergessenheit.
Wenn öffentliche Stellen Domains aufgeben, kann das zum Problem werden. Denn die alten Domains verschwinden nicht völlig. Nachrichtenmedien, wissenschaftliche Papiere oder Adresslisten von Vereinen und Verbänden verlinken auf die früheren Behörden-Websites, lange über deren aktive Nutzung hinaus. In Suchmaschinen sind sie leicht zu finden. Sie genießen Vertrauen.
Gerade diese Faktoren machen abgelegte Adressen staatlicher Stellen zum attraktiven Ziel für Aufmerksamkeitssuchende oder gar Betrüger. Unter den Domains früherer Behördenseiten finden sich heute Werbung für illegales Glücksspiel, Casinos und Schadsoftware. Und manchmal schaffen es staatliche Stellen auch nach mehreren Jahren nicht, alle Abhängigkeiten von den längst verlassenen Domains aus ihren Systemen zu entfernen.
Letzteres auch beim BAMF, das seit 20 Jahren nicht mehr BAFl heißt. Auf der alten Domain passierte lange nichts, bis sich ab August 2022 vorübergehend eine andere Website unter bafl.de fand.
Die Website, die über Asyl informierte und sich angeblich für vertriebene Familien engagierte, wirkt eigenartig. Ein Impressum gab es nicht, die Bilder stammten teils aus kostenlosen Stockfoto-Datenbanken. Verlinkungen erschienen wahllos, aber nicht irreführend. Die Beschreibungen der vermeintlichen Teammitglieder, etwa Mike als „Praktikantin für digitales Eigenkapital“, irritieren. Eine seltsame, aber offenbar nicht schädliche Website.
Im Sommer 2025 lief die Domainregistrierung erneut aus. Wer auch immer bafl.de zuvor kontrollierte, legte offenbar keinen Wert darauf, die Seite weiterzuführen. Der IT-Sicherheitsforscher Tim Philipp Schäfers nutzte diese Gelegenheit und holte sich Ende August die Domain bafl.de. Er wollte wissen, ob noch Aufrufe an die Domain gehen.
Zu Schäfers Überraschung gab es solche Aufrufe und zwar aus den Netzen des Bundes. Von dort erreichten täglich Anfragen bafl.de, das sich nun unter seiner Kontrolle befand. Die Netze des Bundes sind eine Infrastruktur, die Bundesbehörden für den Datenaustausch nutzen können. Laut der Betreiberin, der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben, sind daran 220 Bundesbehörden mit über 300.000 Mitarbeitenden angeschlossen.
Schäfers meldete sich beim CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er vermutete, interne IT-Systeme könnten weiter automatisiert Signale an bafl.de senden, etwa durch eine Fehlkonfiguration. Das CERT ist eine Anlaufstelle, wenn es zu IT-Sicherheitsproblemen kommt. Das CERT antwortete ihm, die Meldung erhalten zu haben und sie an die zuständigen Stellen weiterzuleiten. Auf Anfrage von netzpolitik.org bestätigt ein Sprecher des BSI, „einen entsprechenden Hinweis binnen 24 Stunden an die zuständige Behörde weitergeleitet“ zu haben. Doch die Anfragen an Schäfers Domain hörten nicht auf, zwei Wochen später fragte Schäfers erneut nach.
Ende Oktober, einen Monat nach der ersten Meldung an das CERT, meldete sich nun das BAMF selbst zurück, bedankte sich für den Hinweis und beteuerte, der Sache nachgehen zu wollen. Man nahm die Sache offenbar ernst. Auch ein Sprecher des BAMF bestätigt das gegenüber netzpolitik.org:
Das BAMF teilt die Einschätzung des Sicherheitsforschers Herrn Schäfers, dass ein fortbestehender Verweis (Verwendung einer Domain außerhalb der Kontrolle der Behörde) auf ehemalige Domains ein Sicherheitsrisiko darstellt.
Man könne Gefahren und Missbrauch dadurch begegnen, „dass keine Dienste mehr eine ehemalige Domain oder Sub-Domain wie bafl.de verwenden“, so der Sprecher weiter. Daher habe das BAMF „eine Löschung von bafl.de aus allen Konfigurationen durch ITZBund“ veranlasst. Das „Informationstechnikzentrum Bund“ ist zentraler IT-Dienstleister für die Bundesverwaltung und verwalte, so ein Sprecher der Asylbehörde, in der Regel Domains im Auftrag der jeweiligen Behörden.
Doch nach außen hin passierte nicht mehr viel. Selbst nach der Presseanfrage an das BAMF reißen die regelmäßigen Anfragen nicht ab. Seit September 2025 habe es tausende solcher Anfragen gegeben. „Einige finden täglich und automatisiert statt, andere offenbar durch manuelle Pings oder Anfragen an IT-Systeme“, schreibt Schäfers in seiner Analyse.
Was ist das Risiko, wenn ein Dienst aus den Netzen des Bundes offenbar wiederholt versucht, eine nicht mehr kontrollierte Domain zu erreichen? Schäfers sieht darin ein mehrstufiges Problem. Angreifende könnten versuchen, durch die beständigen Anfragen auszuforschen, wie die interne IT-Infrastruktur aufgebaut ist. Und wenn sie passende Antworten auf die Anfragen geschickt hätten, wäre es vielleicht sogar möglich gewesen, Systeme zu manipulieren.
Der Sicherheitsforscher sagt gegenüber netzpolitik.org: „Im Fall von bafl.de wurde die Domain über 10 Jahre aktiv genutzt und ist – offenbar bis zum heutigen Tage – tief in den IT-Systemen des BAMF verankert.“ Dass eine Domain einfach abgestoßen wird und somit für Dritte nutzbar ist, wenn in internen Systemen weiter Verweise auf die Adresse existieren, kann er nicht nachvollziehen: „Eine solche Domain sollte man erst dann freigeben, wenn man absolut sichergestellt hat, dass sie intern auf keinem System mehr verwendet wird oder sicherheitshalber reserviert halten, wenn man das nicht garantieren kann.“ Auch ein Sprecher des BAMF schreibt: „Es ist erforderlich, nicht mehr genutzte Domains aus Sicherheitsgründen weiter zu registrieren.“ Passiert ist das bei bafl.de offenbar nicht.
Wenn Max Mustermann zum Sicherheitsproblem wird
Doch wenn Bundesbehörden Domains aufgeben, lauern darin nicht nur potenzielle Gefahren für die IT-Sicherheit der Systeme. Gerade wenn Domains mehrere Jahre von Behörden genutzt wurden oder zu bekannten Kampagnen gehörten, ergeben sich große Risiken für Desinformation, Phishing oder Betrug. Dass das kein theoretisches Szenario ist, zeigt die Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Abgeordneten Donata Vogtschmidt.
Dort benennen mehrere Ministerien, dass vormals durch ihnen zugeordnete Behörden genutzte Domains mittlerweile von Dritten registriert wurden, die sie für unerwünschte Zwecke nutzen.
Ein Beispiel ist eine Website, die bis 2020 von der Fachagentur Nachwachsende Rohstoffe (FNR) für das Landwirtschaftsministerium betrieben wurde. Sie diente der Information über sogenannte Energiepflanzen, die beispielsweise für die Biogas-Produktion angebaut werden. Wer heute die Domain besucht, erhält auf den ersten Blick weiterhin Informationen über entsprechende Biomassenutzung, doch in den Webauftritt mischen sich Links zu Glücksspiel- und Wettanbietern.
„Aktuell verlinkt die Domain auf eine missbräuchliche abgewandelte Abbildung der damaligen FNR-Webseite“, schreibt die Bundesregierung dazu. „Hiergegen konnte bislang nicht erfolgreich vorgegangen werden“, heißt es weiter.
Das ist kein Einzelfall, auch das Bundesinstitut für Öffentliche Gesundheit (BIÖG) kämpft mit ungenutzten Domains. Besser bekannt ist die Behörde im Geschäftsbereich des Gesundheitsministeriums vermutlich noch unter ihrem alten Namen, bis Februar hieß sie Bundeszentrale für gesundheitliche Aufklärung und startete immer wieder reichweitenstarke Informationskampagnen, von Suchtprävention bis zur Verhütung sexuell übertragbarer Krankheiten.
Für viele dieser Kampagnen registrierte man eigene, einprägsame Domains und gestaltete bunte Websites. „Das Impfbuch“ etwa sollte in der Corona-Pandemie mit Beiträgen des populären Arztes und Fernsehmoderators Eckart von Hirschhausen die Bevölkerung zu Impfungen informieren. Mittlerweile lassen sich über die Domains Wettanbieter finden, die in Deutschland gesperrten Spieler:innen dennoch das Wetten erlauben. Dasselbe gilt für weitere drei Domains, die das BIÖG untersuchte: Sie „führen auf optisch und inhaltlich gleichartige Seiten, die möglicherweise illegale Inhalte zu Online-Glücksspiel enthalten“. Und zwei dieser Seiten geben vor, dass weiterhin die Bundeszentrale für gesundheitliche Aufklärung hinter den Inhalten stecke.
Offenbar fielen die Seiten erst durch die Kleine Anfrage auf und wurden nun dem Justiziariat der Behörde „zur Prüfung rechtlicher Schritte gemeldet“.
Eine andere der Seiten verteilt auch Schadsoftware. Sie gehörte zu einer Initiative, die vor 15 Jahren mit kindgerechten Liedern Themen wie Liebe, Körpererfahrungen und Sexualität aufbereiten wollte. Die heute zugehörige Seite werde „durch die Netze des Bundes (NdB) blockiert, da diese Domain offenbar auf eine Seite weiterleitet, die Schadcode verbreitet“, schreibt die Bundesregierung.
Außer dem Landwirtschafts- und dem Gesundheitsministerium hat kein anderes Ressort der Bundesregierung Domains gemeldet, die nach der eigenen Nutzung von Dritten und missbräuchlich genutzt würden. „Fehlanzeige“, heißt es in der Antwort. Diese Ergebnislosigkeit irritiert. Dass es hier tatsächlich keinerlei Funde gibt, ist nicht plausibel. Allein die eingangs genannte frühere BAMF-Domain bafl.de ist ein Beispiel aus dem Geschäftsbereich des Innenministeriums und war den entsprechenden Stellen zum Zeitpunkt der Anfrage bekannt.
Fragestellerin Donata Vogtschmidt, Obfrau im Digitalausschuss für die Linksfraktion und Sprecherin für Digitalpolitik, kann das nicht verstehen: „Das Totalversagen bei der Sicherung eines vertrauenswürdigen und resilienten Webauftritts der Bundesregierung ist äußerst irritierend“, so die Abgeordnete. „Es vergeht kaum ein Tag, an dem die Bundesregierung nicht vor der hybriden Bedrohung warnt, auch von höchster Stelle.“ Dafür gebe es auch immer wieder „großspurige“ Ankündigungen wie den Cyberdome oder mehr KI-Nutzung. „Aber einfach mal den Webauftritt des Bundes gegen Desinformation resilient machen, scheint keine Rolle zu spielen“, kritisiert Vogtschmidt die Prioritäten der Bundesregierung.
Um systematisch zu untersuchen, wie groß das Problem ist und ob böswillige Akteure gezielt alte Bundes-Domains kaufen, müsste man wissen, welche Domains es überhaupt gibt – und welche in den vergangenen Jahren aufgegeben wurden.
Doch wie viele Domains überhaupt in Bundeshand befinden und welche Kosten damit verbunden sind, will die Bundesregierung nicht offenlegen. Sie stuft ihre Antwort dazu als Verschlusssache ein und argumentiert, eine Liste könne die Sicherheit der Bundesrepublik Deutschland gefährden. Die Informationen seien geeignet, Systeme etwa mit DDOS-Attacken anzugreifen, sie also durch gezielte massenhafte Anfragen zu überlasten.
Die schiere Menge der Domains, die sich in Bundeshand befanden oder befinden, lässt sich aus punktuellen öffentlichen Angaben daher nur schätzen. So startete Arne Semsrott vor rund zehn Jahren systematisch Informationsfreiheitsanfragen. Viele angefragte Stellen lehnten eine Beantwortung ab. Aus den Antworten lassen sich jedoch Größenordnungen erahnen. So hielt allein der Deutsche Wetterdienst im Jahr 2015 fast hundert verschiedene Domains, das Bundesverwaltungsamt 44 unterschiedliche Adressen und das damalige Bundesministerium für Arbeit und Soziales kam auf 295 Domains. Dieser kleine, eine Dekade alte Ausschnitt zeigt, dass es sich bezogen auf alle Bundesbehörden leicht um Tausende Domains handeln dürfte, die Inhalte staatlicher Stellen enthalten oder enthielten.
Schäfers schreibt gegenüber netzpolitik.org, Geheimhaltung sei beim Umgang mit Domains der falsche Ansatz. Ausschließlich intern genutzte Domains müsse man nicht für die Allgemeinheit listen. Aber in der Regel seien viele Domains durch öffentliche Nutzung oder Archivseiten ohnehin sichtbar. „Gleichzeitig erschwert vollständige Geheimhaltung internes Inventar-Management, externe Transparenz und Sicherheitsforschung“, so der Sicherheitsforscher. „Aus meiner Sicht ist ein Geheimhaltungsansatz nicht mehr zeitgemäß und schadet eher, als das er hilft.“
Wesentlich effektiver als Geheimhaltung sei „ein gutes Lifecycle-Management, starke Authentifizierung und Monitoring, um Missbrauch zu verhindern“. Doch Regeln dazu, wie Bundesbehörden mit nicht mehr benötigten Domains umgehen sollten, scheint es trotz der Dimension staatlicher Domainverwaltung nicht zu geben. „Es sind keine entsprechenden Vorschriften bekannt“, schreibt die Bundesregierung in ihrer Antwort. Die Zuständigkeit dafür, etwa Desinformation durch die gezielte Registrierung von Domains zu unterbinden, liege bei der jeweiligen Behörde.
Auch das BSI antwortet auf Anfrage, dass innerhalb seines Zuständigkeitsbereiches entsprechende Vorschriften nicht bekannt seien. Das Bundesamt empfiehlt jedoch: „Aus Sicht des BSI besteht bei sogenannten Vertipper-Domains und vergleichbaren Fällen das Risiko eines Datenabflusses. Bei nachgewiesenem Missbrauch sollte daher die Übernahme der Domain durch die jeweilige Behörde verfolgt werden.“
Um das Problem der ständig wechselnden Domain-Inhaber zu vermeiden, könnten Bundesinstitutionen auch Subdomains von bund.de nutzen. So sind die Ministerien des Bundes in der Regel unter „kürzel.bund.de“ erreichbar, das Gesundheitsministerium also zum Beispiel unter bmg.bund.de. Auch andere Inhalte lassen sich als Unterseiten der Bundes-Domain ansteuern, so das Infektionsradar des Gesundheitsministeriums oder die Login-Seite zur BundID. So können Nutzende schnell erkennen, dass es sich um ein echtes staatliches Angebot handelt.
Damit auch Internetauftritte von Ländern und Kommunen besser als solche erkennbar sind, gibt es seit 2024 die „Digitale Dachmarke“ für Deutschland. Sie besteht aus vier Kennzeichnungselementen: einer Website-Kopfzeile, die eine Seite als „offizielle Website“ kennzeichnet, ein dedizierter Bundesadler mit dem Schriftzug „Bund Länder Kommunen“ als Bildwortmarke, ein einheitliches Designsystem sowie ein Domainname, der auf „gov.de“ endet. Nicht alle diese Elemente müssen gleichzeitig genutzt werden, sie sollen jedoch helfen, einen Vertrauensanker zu markieren. Um die Informationen auf den Seiten als verlässlich einzustufen oder auch bevor man sensible Daten dort eingibt.
Noch befindet sich das Projekt, so die Bundesregierung, in der Pilotierung. Nur wenige Angebote nutzen die Möglichkeit, eine Subdomain von gov.de zu beziehen. Dazu gehören das Digital- und das Verteidigungsministerium sowie der IT-Planungsrat und die Föderale IT-Kooperation FITKO. Die Website des „Veteranentags 2025“ erreicht man ebenfalls so. Eine Subdomain, um die PIN des Personalausweises zurückzusetzen, ist unter „pin-ruecksetzbrief-bestellen.gov.de“ schon vergeben, auch wenn der Inhalt der Seite auf sich warten lässt. Ab 2026, heißt es in der Antwort, soll jedoch der breitere Roll-out des Vorhabens erfolgen.
Der Digitalpolitikerin Donata Vogtschmidt von den Linken geht das nicht schnell genug. „Die Umsetzung hinkt und ist keine Pflicht, was dem Zweck widerspricht“, schreibt sie in einer Pressemitteilung. „Wer Desinformation verbreiten will, hat leichtes Spiel, und der Bundesregierung scheint die Bedeutung der Domains des Bundes nicht klar zu sein.“
Andernorts ist die konsequente Nutzung von Subdomains für staatliche Angebote deutlich etablierter. In Österreich etwa sind viele öffentliche Angebot als Subdomain von gv.at abrufbar, wer diese wie nutzen darf, ist klar geregelt. Ähnlich ist es in Großbritannien mit „gov.uk“ und in vielen anderen Ländern. Für zurückliegende Registrierung ist das zwar keine Lösung. Aber für unzählige weitere Domains, die im Laufe von Infokampagnen, Namenswechseln oder neuen Behörden künftig nötig werden, könnte das viele Probleme von Anfang an vermeiden.
In der Netzwerk-Softwareverwaltungs-Lösung Endpoint Manager von Ivanti klaffen mehrere Sicherheitslücken. Eine davon gilt dem Hersteller sogar als kritisches Risiko. Updates schließen die Lecks.
Weiterlesen nach der Anzeige
In einer Sicherheitsmitteilung schreibt Ivanti, dass sich die Sicherheitslücken sowohl im Endpoint Manager Core als auch in den Remote-Konsolen finden. Von den vier Schwachstellen ist die gravierendste eine vom Typ „Stored Cross-Site-Scripting“ (Stored XSS), bei dem nicht authentifizierte Angreifer aus dem Netz auf verwundbaren Servern Javascript-Code einschleusen und speichern können, der im Kontext etwa einer Administrator-Sitzung zur Ausführung gelangt (CVE-2025-10573, CVSS 9.6, Risiko „kritisch“). Wie Attacken im Speziellen aussehen würden, erklärt Ivanti nicht. Der Hersteller erklärt jedoch, dass Ivanti EPM nicht dazu gedacht ist, aus dem Internet erreichbar zu sein; sofern Kunden das System nicht im öffentlichen Internet betreiben, sei das Risiko dieser Schwachstelle signifikant geringer.
Nicht angemeldete bösartige Akteure aus dem Netz können zudem beliebige Dateien auf Server schreiben und dadurch möglicherweise Schadcode einschleusen und ausführen. Das geht auf unzureichende Prüfungen von „dynamisch verwalteten Code-Ressourcen“ zurück (CVE-2025-13659, CVSS 8.8, Risiko „hoch“). Die Einstufung als kritische Bedrohung verpasst das Problem nur knapp. Ivanti erläutert, dass als Voraussetzung für einen Missbrauch Kunden zu einem nicht vertrauenswürdigen Core-Server verbinden müssten; gemäß der „Best-Practices“-Empfehlungen sollten Kunden ihr Ivanti EPM jedoch ausschließlich an vertrauenswürdige Server anbinden.
In der Patch-Management-Komponente führt eine unzureichende Prüfung kryptografischer Signaturen dazu, dass nicht angemeldete Angreifer aus dem Netz beliebigen Code ausführen können (CVE-2025-13662, CVSS 7.8, Risiko „hoch“). Außerdem können angemeldete Nutzer aufgrund einer Path-Traversal-Lücke beliebige Dateien außerhalb vorgesehener Verzeichnisse speichern (CVE-2025-13661, CVSS 7.1, Risiko „hoch“).
Wie Angriffe auf die Schwachstellen konkret aussehen können, führt Ivanti nicht aus, betont jedoch, dass für einen erfolgreichen Missbrauch bei allen Nutzerinteraktionen nötig sind. Bislang hat der Hersteller auch keine Kenntnisse darüber, dass die Schwachstellen bereits in freier Wildbahn missbraucht wurden. Daher könne Ivanti auch keine Indicators of Compromise (IOCs) nennen.
Die Aktualisierung auf Ivanti Endpoint Manager 2024 SU4 SR1 schließt alle genannten Sicherheitslecks. IT-Verantwortliche sollten es daher zügig installieren.
Weiterlesen nach der Anzeige
Auch im November dieses Jahres hatte Ivanti eine Sicherheitslücke im Endpoint Manager schließen müssen. Sie galt ebenfalls als hochriskant und ermöglichte Angreifern, Dateien auf Festplatten von Opfer-PCs zu schreiben.
(dmk)
Angreifer können verschiedene Fortinet-Produkte attackieren und sich unter anderem unbefugt Zugriff verschaffen. Sicherheitsupdates stehen zum Download bereit. Bislang sind keine Berichte zu laufenden Attacken bekannt. Admins sollten mit dem Patchen aber nicht zu lange warten.
Weiterlesen nach der Anzeige
Als besonders gefährlich gelten zwei „kritische“ Lücken (CVE-2025-59718, CVE-2025-59719) in FortiOS, FortiProxy, FortiSwitchManager und FortiWeb. Unter bestimmten Bedingungen können Angreifer die Authentifizierung umgehen. In einer Warnmeldung führen die Entwickler aus, dass die Schwachstellen konkret den SSO-Login von FortiCloud betrifft. Dieses Feature ist standardmäßig nicht aktiv.
Die Entwickler weisen aber darauf hin, dass wenn Admins Geräte über die Bedienoberfläche des jeweiligen Gerätes bei FortiCare registrieren und dabei die Option „Allow administrative login using FortiCloud SSO“ nicht deaktivieren, FortiCloud SSO-Login aktiv ist. Ist das gegeben, können Angreifer mit präparierten SAML-Nachrichten an der Lücke ansetzen und sich so ohne korrekte Anmeldung Zugriff verschaffen.
Temporär können Admins Geräte durch die Deaktivierung dieses Anmeldeverfahrens schützen. Dauerhafte Abhilfe schafft aber nur die Installation von verfügbaren Sicherheitspatches. Deren Auflistung sprengt den Rahmen dieser Meldung. Informationen dazu finden Admins in der Warnmeldung.
Weiterhin sind noch unter anderem FortiAuthenticator, FortiExtender und FortiPortal verwundbar. Der Großteil der verbleibenden Sicherheitslücken ist mit dem Bedrohungsgrad „mittel“ eingestuft. Sind Attacken erfolgreich, können Angreifer etwa eigene Befehle ausführen oder auf eigentlich abgeschottete private Schlüssel zugreifen.
Im Sicherheitsbereich der Fortinet-Website finden sich weitere Details zu den Sicherheitsproblemen. Am vergangenen Patchday haben die Entwickler unter anderem bereits ausgenutzte Lücken in FortiWeb geschlossen.
Weiterlesen nach der Anzeige
(des)
Derzeit haben Angreifer unter anderem Windows 11 und Windows Server 2022 im Visier. Demzufolge sollten Admins sicherstellen, dass Windows Update auf ihren Systemen aktiv ist und die aktuellen Sicherheitspatches installiert sind.
Weiterlesen nach der Anzeige
Neben Windows haben die Entwickler auch Lücken in unter anderem Azure und Office geschlossen. Im schlimmsten Fall können Angreifer Schadcode aus der Ferne ausführen und PCs so vollständig kompromittieren. Das könnte etwa über zwei bereits öffentlich bekannte Schwachstellen in GitHub Copilot for Jetbrains (CVE-2025-64671 „hoch“) und PowerShell (CVE-2025-54100 „hoch“) geschehen. An diesen Stellen können Attacken bevorstehen.
Die derzeit ausgenutzte Lücke (CVE-2025-62221 „hoch“) im Cloud-Files-Mini-Filter-Treiber betrifft verschiedene Windows- und Windows-Server-Versionen inklusive aktueller Ausgaben. Sind Attacken erfolgreich, verschaffen sich Angreifer Systemrechte. In der Regel nutzen sie dann diese Position, um die volle Kontrolle über Computer zu erlangen. Wie und in welchem Umfang die Angriffe ablaufen, ist derzeit nicht bekannt.
Als besonders gefährlich stuft Microsoft noch drei Schadcode-Schwachstellen in Office (CVE-2025-62554 „hoch“, CVE-2025-62557 „hoch“) und Outlook (CVE-2025-62562 „hoch“) ein.
Ferner haben die Entwickler mehrere Lücken in unter anderem DirectX, Brokering File System und Excel geschlossen. Außerdem sind Attacken auf Azure und Hyper-V möglich. In diesen Fällen können sich Angreifer höhere Rechte aneignen oder eigenen Code ausführen. Weiterführende Informationen zu den Lücken und Patches listet Microsoft im Security Update Guide auf.
Weiterlesen nach der Anzeige
(des)
Illustrierte Reise nach New York City › PAGE online
Jetzt patchen! Erneut Attacken auf SonicWall-Firewalls beobachtet
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
SK Rapid Wien erneuert visuelle Identität
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Schluss mit FOMO im Social Media Marketing – Welche Trends und Features sind für Social Media Manager*innen wirklich relevant?
