Der Netzwerkausrüster Cisco hat am Mittwoch zehn neue Sicherheitsmeldungen herausgegeben. Sie behandeln teils hochriskante Schwachstellen in mehreren Produkten.

Am gravierendsten ist ein Sicherheitsleck in Ciscos Nexus 3000er- und 9000er-Switches. Nicht authentifizierte Angreifer aus dem Netz können eine Schwachstelle in der Intermediate System-to-Intermediate System (IS-IS)-Funktion missbrauchen, um einen Neustart des Prozesses zu provozieren, was einen Geräteneustart verursachen kann. Es handelt sich somit um eine Denial-of-Service-Sicherheitslücke (CVE-2025-20241, CVSS 7.4, Risiko „hoch„).

Die zweite schwerwiegende Schwachstelle betrifft den Virtual Keyboard Video Monitor (vKVM) von Ciscos Integrated Management Controller (IMC). Die Sicherheitslücke liegt in dem Verbindungs-Handling, wodurch nicht authentifizierte Angreifer aus dem Netz Nutzer auf bösartige Webseiten umleiten können (CVE-2025-20317, CVSS 7.1, Risiko „hoch„).

Weitere Schwachstellen mittleren Schweregrads

Cisco hat noch weitere Sicherheitsnotizen zu mittelschweren Schwachstellen herausgegeben.

IT-Verantwortliche sollten prüfen, ob sie die betroffenen Geräte in ihren Netzwerken einsetzen und die bereitstehenden Aktualisierungen zeitnah anwenden.

Zuletzt hatte Cisco Mitte August Sicherheitslücken in Firewalls gestopft. Diese erlaubten Angreifern schlimmstenfalls, verwundbare Geräte vollständig zu kompromittieren.

(dmk)

Anna Bicker, heise-online-Chefredakteur Dr. Volker Zota und Malte Kirchner sprechen in dieser Ausgabe der #heiseshow unter anderem über folgende Themen:

• Klickibunti: Wie Windows 95 den modernen PC prägte – Vor 30 Jahren revolutionierte Microsoft mit Windows 95 die PC-Welt und legte den Grundstein für die moderne Computernutzung. Was machte Windows 95 so wegweisend? Welche Designprinzipien prägen noch heute unsere Computer? Und wie veränderte das Betriebssystem die Art, wie wir mit Computern umgehen?
• Das riecht nach Ärger: US-Regierung will EU-Regulierer sanktionieren – Die Trump-Regierung plant angeblich Sanktionen gegen EU-Verantwortliche wegen des Digital Services Act. Wie ernst ist diese Drohung zu nehmen? Welche Auswirkungen hätte ein Handelsstreit zwischen USA und EU auf die Tech-Regulierung? Und kann die EU ihre digitale Souveränität gegen US-Druck behaupten?
• Anrufchaos: Legen automatisierte Notrufe Rettungsleitstellen lahm? – Smarte Geräte und automatisierte Systeme überlasten zunehmend die Notfall-Infrastruktur mit Fehlalarmen. Wie groß ist das Problem der automatisierten Notrufe wirklich? Welche technischen Lösungen gibt es, um echte Notfälle von Fehlalarmen zu unterscheiden? Und wie können Rettungsleitstellen mit der wachsenden Zahl vernetzter Geräte umgehen?

Außerdem wieder mit dabei: ein Nerd-Geburtstag, das WTF der Woche und knifflige Quizfragen.

Jeden Donnerstag ab 17 Uhr live

Fragen an die Moderatoren und Gäste können während der Sendung im YouTube-Chat und in unserem Twitch-Kanal (twitch.tv/heiseonline) sowie vorab per E-Mail und im heise-Forum gestellt werden. Die Redaktion freut sich bereits auf zahlreiche Zuschauer und auf reges Feedback.

Die #heiseshow wird jeden Donnerstag um 17 Uhr live auf heise online gestreamt. Nach der Live-Übertragung ist die Sendung zum Nachschauen und -hören auf YouTube und als Podcast verfügbar:

(mki)

Chinesische Angreifer wie Salt Typhoon oder GhostEmperor nutzen zumeist bekannte, aber nicht geschlossene Sicherheitslücken aus, um Netzwerksysteme zu infiltrieren und auszuspähen. Jetzt gibt es einen offiziellen Leitfaden, den Sicherheitsbehörden verschiedener Länder gemeinsam erarbeitet und herausgegeben haben. Derweil möchte Kanadas Datenschutzbehörde eine auf konkrete Gefahr reduzierte Variante des „Rechts auf Vergessenwerden“ durchsetzen. Google spielt allerdings nicht mit, obwohl die Ergebnisse der Suchmaschine auf viele Jahre alte, überholte und teilweise unvollständige Berichte über eine HIV-positive, minderjährige Person verweisen. Konkret betrifft uns in Europa, dass Word für Windows neu abgefasste Inhalte automatisch in die Cloud speichert, wo auch Microsofts KI mitliest. Doch es gibt Abhilfe. Nutzer können die Autosave-Funktion abschalten oder die automatische Speicherung in andere Clouds oder eigene Laufwerke umleiten – die wichtigsten Meldungen im kurzen Überblick.

In den letzten Jahren sind immer wieder Cyberangriffe von mutmaßlich chinesischen Akteuren auf internationale Netzwerksysteme bekannt geworden. Dabei konnten die wohl staatlich unterstützten Cyberangreifer die globale Telekommunikationsinfrastruktur infiltrieren und ausspähen. Dagegen haben sich die Sicherheitsbehörden verschiedener Länder verbündet und jetzt einen gemeinsamen und umfassenden Cybersicherheitsleitfaden veröffentlicht, der das Vorgehen der Angreifer beschreibt, Hinweise zur Entdeckung der Attacken gibt und Gegenmaßnahmen empfiehlt. Vielen dieser Cyberangriffe gemein ist das Ausnutzen bereits bekannter, aber vom Betreiber nicht geschlossener Sicherheitslücken: Weltweite Warnung vor Cyberangriffen Chinas auf Telekommunikationsinfrastruktur.

Google weigert sich, die kanadische Version des „Rechts auf Vergessenwerden“ zu akzeptieren, obwohl dieses im Vergleich zur europäischen Variante deutlich reduziert und besser gegen Missbrauch geschützt ist. Googles Weigerung stellt die schwache Datenschutzbehörde der Monarchie vor ein Problem. Ausgangspunkt des Streits sind über Googles Suchmaschine zu findende Medienberichte über Verhaftung und Anklage einer HIV-positiven, minderjährigen Person, wohl vor über einem Jahrzehnt. Der Person wurde einst vorgeworfen, ihren HIV-Status vor einem sexuellen Kontakt nicht offengelegt zu haben. Darüber berichteten kanadische Medien unter Nennung des vollen Namens der Person und ihrer sexuellen Orientierung. Das schadet der Person noch heute: Google will HIV-Status minderjährigen Kanadiers in Suchergebnissen behalten.

Verweigern können Anwender erfreulicherweise Microsofts Drang von Office-Dateien zur Cloud. Zwar landen mit Microsoft Word für Windows erstellte Inhalte ab sofort automatisch in der Microsoft-Cloud Onedrive. Gleichzeitig bekommt Microsofts Künstliche Intelligenz Copilot samt deren Agenten Zugriff auf die automatisch auf Onedrive gespeicherten Dateien. Doch Nutzer, die das nicht möchten, können die automatische Speicherung (Autosave) deaktivieren. Alternativ können sie in den Einstellungen eine andere Cloud als automatischen Speicherort festlegen. Angeboten werden in den Einstellungen auch noch, ganz oldschool, der eigene Rechner oder gegebenenfalls ein Netzwerklaufwerk als Ort für das automatische Abspeichern: MS Word speichert unter Windows jetzt automatisch in die Cloud.

Nach einer IT-Attacke auf den Klinikkonzern Ameos im Juli hat der Verbund nun ein Auskunftsformular veröffentlicht, auf der Patienten Auskunftsersuchen stellen können. „Ob im Einzelfall personenbezogene Daten betroffen sind, muss jeweils aufwendig und individuell geprüft werden. Daher können wir keine verlässliche Aussage dazu machen, wie viele Personen tatsächlich betroffen sind“, sagte ein Sprecher gegenüber heise online. Nach Ausfüllen des auf der Informationswebpage verlinkten Auskunftsformulars werde individuell geprüft, welche Daten in welchem Zeitraum betroffen waren. Dazu müssen sich Patienten identifizieren und eine Kopie ihres Ausweisdokuments hochladen: Nach IT-Angriff auf Ameos Kliniken steht Auskunftsformular für Datenschutz bereit.

In der heutigen Ausgabe der #heiseshow sprechen wir unter anderem über Klickibunti und wie Windows 95 vor 30 Jahren den modernen PC prägte. Was machte Windows 95 so wegweisend? Welche Designprinzipien prägen noch heute unsere Computer? Derweil plant die Trump-Regierung angeblich Sanktionen gegen EU-Verantwortliche wegen des Digital Services Act. Wie ernst ist diese Drohung zu nehmen? Kann die EU ihre digitale Souveränität gegen US-Druck behaupten? Unter Druck stehen auch Rettungsleitstellen, denn smarte Geräte und automatisierte Systeme überlasten zunehmend die Notfall-Infrastruktur mit Fehlalarmen. Wie groß ist das Problem der automatisierten Notrufe wirklich? Welche technischen Lösungen gibt es, um echte Notfälle von Fehlalarmen zu unterscheiden? Darum geht es heute um 17 Uhr live in der #heiseshow: Windows 95, USA vs. EU, Notrufchaos.

Auch noch wichtig:

• Die Süddeutsche Zeitung berichtet, dass Deutsche Banken Zahlungen an Paypal gestoppt hatten. Auslöser war ein Sicherheitsproblem bei Paypal: Deutsche Banken blockierten offenbar Zahlungen von Milliarden Euro.
• In der US-Sozialkasse haben Angestellte von DOGE laut einer Whistleblower-Beschwerde eine hochsensible Datenbank in die Cloud kopiert. Das Risiko sei enorm, so der Whistleblower: DOGE hat Daten zu allen Menschen in den USA in die Cloud kopiert.
• Klimaanlage? Geht ja gar nicht! Wärmepumpe? Super. Clemens Gleich betrachtet die seltsame deutsche Tugendwahrnehmung an der Moralscheide des Klimakompressors in seinem Kommentar: Nur in Deutschland ist die Klimaanlage etwas Schlechtes.
• Nachdem drei Testflüge in Folge nicht geglückt waren, ist SpaceX beim zehnten Start der Riesenrakete Starship jetzt wieder alles gelungen, was geplant war: Beim zehnten Testflug hat die Riesenrakete Starship wieder alle Aufgaben absolviert.
• Amazon offeriert beim Retourenprozess neuerdings, manche Waren gegen Preisreduktion zu behalten statt zurückzuschicken. Lohnt sich das Eingehen auf das Modell? Das ist die Frage beim neuen Retourenmodell: Amazon bietet Nachlass statt Rücksendung.
• Die neue Toniebox bietet Spiele und soll noch jüngere Kinder ansprechen. Boxen der ersten Generationen bleiben voll funktionsfähig: Hersteller erweitert Altersgruppe bei Toniebox 2.
• Googles KI-Wettermodell stach bei der 72-Stunden-Vorhersage von Hurrikan Erin gegenüber etablierten Modellen hervor. Warum die KI etliche Vorteile bietet: Googles KI-Wettervorhersage für Hurrikan Erin übertrifft klassische Modelle.
• VW stellt den zweiten T-Roc vor, an dem wenig überrascht. Doch dahinter steckt kein mangelnder Mut, sondern kluges Kalkül: VW T-Roc weiterhin konservativ erfolgreich?
• Ein Märchen in CRUD zeigt, wie Fachsprache und Technik kollidieren, weil sich nicht alles über Create, Read, Updated und Delete abbilden lässt: Warum CRUD für Märchen und Unternehmen gleichermaßen ungeeignet ist.
• Die Theorien zur Planetenentstehung sind umfangreich, teils fehlen aber Nachweise. Nun wurde beobachtet, wie ein Exoplanet eine Lücke zwischen Ringen schafft: „Spektakulär klares Bild“ zeigt erstmals Babyplaneten beim Freiräumen des Orbits.

(fds)