Schwachstellen in Apples Webkit sowie Gladinet CentreStack und Triofox werden derzeit aktiv im Internet angegriffen. Aktualisierungen zum Schließen der Sicherheitslecks stehen bereit. Admins sollten sie zügig anwenden.

Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Zum Wochenende hatte Apple Updates auf die Betriebssystemversion 26.2 von iOS, iPadOS, macOS, watchOS, tvOS, visionOS und HomePods freigegeben, ein sehr ungewöhnlicher Wochentag dafür. Später stellte sich heraus, dass die Aktualisierungen Sicherheitslücken schließen – die bereits im Internet attackiert wurden. Jetzt warnt auch die oberste IT-Sicherheitsbehörde der USA vor diesen beobachteten Angriffen und empfiehlt, die bereitstehenden Aktualisierungen umgehend zu installieren. Der Schwachstelleneintrag mit der Nummer CVE-2025-43529 ist vorbereitet, jedoch bislang nicht öffentlich; der konkrete Schweregrad lässt sich dadurch nicht einschätzen. Apple nennt zudem den Missbrauch der Schwachstelle CVE-2025-14174 in Webkit – dabei handelt es sich um die Schwachstelle, die Google in Chrome mit einem Notfallupdate in der Nacht zum vergangenen Donnerstag bedacht hat, da sie bereits angegriffen wurde.

Auch für den Webbrowser Safari gibt es entsprechende Aktualisierungen, die Nutzerinnen und Nutzer installieren sollten. Die CISA führt wie üblich nicht aus, wie die Angriffe aussehen und in welchem Umfang sie stattfinden. Da auch Apple sich dazu bedeckt hält, gibt es keine Hinweise, wie Interessierte prüfen können, ob sie Opfer solcher Angriffe geworden sind. Es fehlen dazu die Hinweise auf Kompromittierung (Indicators of Compromise, IOCs).

Weiter attackierte Sicherheitslücken

In Gladinet CentreStack und Triofox, die Fernzugriff auf lokale Dateien in Unternehmen ohne VPN oder Cloud-Synchronisationen ermöglichen sollen, haben IT-Sicherheitsforscher fest einprogrammierte Werte für die genutzte AES-Verschlüsselung entdeckt (CVE-2025-14611, CVSS4 7.1, Risiko „hoch“). Das können Angreifer ohne vorherige Authentifizierung an öffentlich zugreifbaren Endpunkten zum Einbinden beliebiger lokaler Dateien missbrauchen, was in Verkettung mit weiteren Schwachstellen schließlich zur vollständigen Kompromittierung führen kann. Die Version 16.12.10420.56791 oder neuer schließt die Sicherheitslücke.

Auch hier fehlen weitergehende Details, wie die Angriffe auf die Schwachstelle konkret aussehen und wie IT-Verantwortliche (erfolgreiche) Attacken erkennen können. Bereits Mitte November hatte die CISA vor Cyberattacken auf eine Gladinet-Schwachstelle gewarnt.

(dmk)

Wenn auf bestimmten HPE-ProLiant-Servern Intel QuickAssist läuft, können Angreifer mehrere Sicherheitslücken ansetzen. Im schlimmsten Fall verschaffen sich Angreifer höhere Nutzerrechte. Bislang gibt es keine Berichte zu Attacken. Das heißt aber nicht, dass Admins den Patchvorgang auf die lange Bank schieben sollten.

Verschiedene Gefahren

In einer Warnmeldung führen die Entwickler aus, dass konkret HPE ProLiant DL/ML/XD Alletra und Synergy Server, die Intel QuickAssistnutzen,n verwundbar sind. In der Windows-Treibersoftware finden sich insgesamt zehn Schwachstellen.

Am gefährlichsten gelten zwei Lücken (CVE-2025-33000 „hoch“, CVE-2025-27713 „hoch“), über die sich Angreifer höhere Nutzerrechte aneignen können. Eine solche Position dient in der Regel als Sprungbrett für weitere Attacken. Um Angriffe einleiten zu können, müssen Angreifer aber bereits authentifiziert sein.

Der Großteil der restlichen Schwachstellen ist mit dem Bedrohungsgrad „mittel“ eingestuft. An diesen Stellen können unter anderem Informationen leaken. Intel gibt an, die Lücken in der Version 2.6.0 geschlossen zu haben.

(des)

Angreifer sind in Systeme von SoundCloud eingestiegen. Außerdem betrifft eine Attacke einen Dienstleister von Pornhub und einige Nutzer des Angebots. In beiden Fällen hatten Cyberkriminelle Zugriff auf persönliche Nutzerdaten.

SoundCloud: 20 Prozent der Nutzer betroffen

In einer Mitteilung versichert SoundCloud, dass das Sicherheitsproblem mittlerweile gelöst sei und keine Gefahr mehr bestehe. Die Verantwortlichen führen aus, dass unbekannte Angreifer auf einem bislang nicht näher ausgeführten Weg Zugriff auf interne Systeme des Online-Musikdiensts hatten.

Dabei sei es zu DoS-Attacken gekommen, sodass der Web-Service zeitweise nicht erreichbar war. Nach Abschluss der Untersuchungen teilt der Anbieter mit, dass die Angreifer auf persönliche Daten von rund 20 Prozent der Nutzer zugreifen konnten. Darunter fallen SoundCloud zufolge unter anderem E-Mail-Adressen. Kreditkartendaten und Passwörter seien jedoch nicht betroffen.

Die Verantwortlichen betonen, dass sie ihre Systeme effektiver gehärtet haben, um besser gegen Attacken gerüstet zu sein. Dabei sei es zu temporären Verbindungsproblemen für VPN-Nutzer gekommen.

Dienstleister als Einfallstor

Pornhub gibt in einer Stellungnahme an, dass die Cyberattacke nicht die eigenen Systeme betrifft, sondern den Datenanalysedienst Mixpanel. Durch eine Smishing-Attacke konnten Angreifer bei Mixpanel einsteigen und dort Daten von Partnern wie OpenAI kopieren.

Pornhub führt aus, dass „einige Premium-Nutzer“ von dem Vorfall betroffen sind. Eine konkrete Zahl gibt es derzeit nicht. Welche Daten betroffen sind, geht aus der Mitteilung nicht hervor. Darunter sollen aber keine Bezahl- und Zugangsdaten sein. Pornhub gibt an, seit 2021 nicht mehr mit dem Datenanalysedienst zusammenzuarbeiten. Derzeit seien die Untersuchungen noch nicht abgeschlossen.

(des)