In der Nacht zum Freitag hat Trend Micro mehrere CVE-Schwachstelleneinträge veröffentlicht. Sie betreffen hochriskante Sicherheitslücken in mehreren Produkten des IT-Sicherheitsunternehmens.

In Trend Micros Cleaner One Pro können Angreifer ihre Rechte ausweiten und unbeabsichtigt Trend-Micro-Dateien mit erhöhten Rechten löschen, einschließlich der Cleaner-One-Pro-Dateien (CVE-2025-53503 / EUVD-2025-21043, CVSS 7.8, Risiko „hoch„). Laut Sicherheitsmitteilung von Trend Micro korrigiert Trend Micro Cleaner One Pro 6.8.333 den Fehler.

Verfolgte Verknüpfungen

In der Endkundenversion von Trend Micros Passwort-Manager können Angreifer mit symbolischen Links und ähnlichen und anderen, nicht näher genannten Methoden eine Link-Verfolgungs-Lücke zur Rechteausweitung missbrauchen. Damit können beliebige Ordnern und Dateien löschen und ihre Rechte im System ausweiten (CVE-2025-52837 / EUVD-2025-21041, CVSS 7.8, Risiko „hoch„). Der Passwort-Manager in Version 5.8.0.1330 für Windows oder neuere Fassungen bessern die Schwachstelle aus.

Die Privatnutzer-Version Trend Micro Security 17.8 ist von einer vergleichbaren Sicherheitslücke betroffen. Die Software folgt Verknüpfungen, wodurch Angreifer unbeabsichtigt Dateien von Trend Micro mit erhöhten Rechten löschen können, einschließlich der eigenen (CVE-2025-52521 / EUVD-2025-21040, CVSS 7.8, Risiko „hoch„). Die Trend Micro Security-Produkte für Windows enthalten den Fehler ab Version 17.8.1476 nicht mehr.

Im Trend Micro Worry-Free Business Security Services (WFBSS) Agent können Angreifer aus dem Netz ohne vorherige Authentifizierung die Kontrolle übernehmen. Es fehlt einen Authentifizierungsprüfung (CVE-2025-53378 / EUVD-2025-21042, CVSS 7.6, Risiko „hoch„). Betroffen sind die Agents der SaaS-Cloud-Variante, die On-Premises-Version ist nicht anfällig. Der Fehler wurde bereits mit dem monatlichen Wartungsupdate korrigiert, Admins müssen daher nicht aktiv werden.

Zuletzt hatte Trend Micro Sicherheitslücken in Apex Central und Worry-Free Business Security Mitte Juni abgedichtet. Davon haben die Entwickler einige sogar als kritisches Sicherheitsrisiko eingestuft.

(dmk)

Seit Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) 2018 sind die Inhaberdaten von Domains weitgehend unter Verschluss. Was vorher über das sogenannte Whois-System frei zugänglich war, ist heute nur noch schwer zu bekommen. In Episode 138 des c’t-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit dem Domainrecht-Experten Thomas Rickert über die Auswirkungen dieser Entwicklung.

Rickert ist geschäftsführender Gesellschafter der Rickert Rechtsanwaltsgesellschaft und außerdem im Rat der Generic Names Supporting Organization (GNSO Council) aktiv, die wiederum Teil der zentralen Domain-Verwaltung Internet Corporation for Assigned Names and Numbers (ICANN) ist. Darüber hinaus leitet der Rechtsanwalt beim eco-Verband die KG Names & Numbers.

Rickert schildert in der Episode, dass vor der DSGVO für jede Domainregistrierung über 70 Datenelemente erhoben und veröffentlicht werden mussten – vom Namen über die Adresse bis zur Faxnummer. Diese Praxis führte dazu, dass Datenhändler die Informationen massenhaft abgriffen und Domaininhaber kurz nach der Registrierung mit Spam überhäuft wurden.

„Redacted for Privacy“

Die ICANN reagierte auf die DSGVO mit einer Notlösung: Statt der Daten erscheint seitdem meist nur noch „Redacted for Privacy“. Für Rechteinhaber wie Verlage, die gegen Urheberrechtsverletzungen vorgehen wollen, ist das ein Problem, betont Heidrich. Er berichtet frustriert, dass er bei offensichtlichen Rechtsverletzungen keine Kontaktmöglichkeit mehr findet. Die Täter verstecken sich bewusst hinter amerikanischen Anbietern, die keine Auskünfte erteilen.

Rickert verteidigt die neue Praxis, die alte sei datenschutzrechtlich nicht haltbar gewesen. Zudem überschätze man den Wert der Registrierungsdaten bei der Bekämpfung von Cyberkriminalität. Über 50 Prozent der Phishing-Fälle liefen über kompromittierte Websites legitimer Betreiber. Wichtiger als der Zugriff auf Inhaberdaten sei die schnelle Reaktion durch Domainsuspendierung.

Es werde (etwas) Licht

Die ICANN arbeitet an Lösungen wie dem Registration Data Request System (RDRS), das Anfragen an die richtigen Stellen weiterleitet. Überdies soll die EU-Richtlinie NIS2 mit ihrem Art. 28 neue Rechtsgrundlagen für die Herausgabe von Domaindaten schaffen. Unternehmensdaten sollen wieder veröffentlicht werden müssen, und berechtigte Anfragen binnen 72 Stunden beantwortet werden.

Die Diskussion zeigt exemplarisch am wichtigen DNS den Konflikt zwischen Datenschutz und berechtigten Transparenzinteressen. Während die einen das „Going Dark“ des Whois-Systems beklagen, sehen andere darin eine überfällige Korrektur datenschutzwidriger Praktiken.

Episode 138:

Hier geht es zu allen bisherigen Folgen:

(hob)

Mexikos Generalstaatsanwaltschaft (FGR) hat nach Berichten mehrerer mexikanischer Medien eine Untersuchung gegen Mexikos früheren Präsidenten Enrique Peña Nieto über die angebliche Entgegennahme von Bestechungsgeldern in Millionenhöhe eingeleitet. Dieser soll nach Angaben der israelischen Zeitung The Marker 25 Millionen US-Dollar von zwei israelischen Geschäftsleuten als Schmiergeldzahlung für den Erwerb der Spionagesoftware Pegasus des israelischen Unternehmens NSO Group erhalten haben.

„Wir werden die israelischen Behörden unverzüglich über das System der internationalen Rechtshilfe bitten, diese Informationen, die sie in den Medien veröffentlicht haben, in eine Akte aufzunehmen, damit wir vorankommen können“, erklärte der Leiter der FGR, Alejandro Gertz Manero, am Dienstag. Man werde die israelische Regierung formell um Rechtshilfe bitten, „damit diese Behauptungen innerhalb eines rechtlichen Rahmens aufgestellt werden und nicht in das gleiche Vakuum unbegründeter Anschuldigungen fallen“, so Gertz weiter. Angesichts der schwierigen Zusammenarbeit mit Israels Behörden in anderen Fällen zeigte sich Gertz allerdings nicht sehr optimistisch, was die Überstellung der erforderlichen Unterlagen betrifft.

Die Informationen, die Mexikos früheren Präsidenten mit den Sponsoren der Spionagesoftware in Verbindung bringen, wurden in der vergangenen Woche von der israelischen Zeitung The Marker veröffentlicht und von mexikanischen Medien breit aufgegriffen. Die Veröffentlichung ist Teil eines Rechtsstreits zwischen zwei israelischen Geschäftsleuten, die behaupten, eine gemeinsame „Investition“ in Höhe von 25 Millionen US-Dollar getätigt zu haben, um zwischen 2012 und 2018 Verträge mit der mexikanischen Regierung unter Peña Nieto zu erhalten. Unklar ist, ob der gesamte Betrag an den Ex-Präsidenten selbst geflossen sein soll oder ob andere Personen beteiligt waren.

Ex-Präsident bestreitet die Vorwürfe

Peña Nieto, der seit seinem Ausscheiden aus dem Amt zwischen Spanien und der Dominikanischen Republik lebt, hat die gegen ihn erhobenen Vorwürfe entschieden zurückgewiesen. Über seinen offiziellen X-Account, den er seit Monaten nicht mehr benutzt hatte, bezeichnete er den Marker-Artikel als „völlig falsch“ und versicherte, dass die Anschuldigungen unbegründet seien. „Ich bedaure, auf Artikel zu stoßen, die ohne ein Mindestmaß an journalistischer Sorgfalt leichtfertige und bösartige Behauptungen aufstellen“, schrieb er. Es handele sich um eine Unterstellung, „die jeglicher Grundlage entbehrt“. Er ließ die Frage offen, wer von einer solchen Veröffentlichung profitieren würde. Später erklärte Peña Nieto in einem Radiointerview, dass er nie an der Vergabe von Aufträgen an Lieferanten beteiligt war. Auch kenne er keinen der beiden betreffenden Geschäftsleute.

Die Regierung Peña Nieto (2012-2018) hatte das Spionagesystem Pegasus mutmaßlich für 32 Millionen US-Dollar offiziell für nachrichtendienstliche Zwecke und zur Bekämpfung des organisierten Verbrechens eingekauft. Aktivistengruppen und Journalisten deckten später auf, dass Regierungseinrichtungen die Malware zum Ausspähen von Journalisten, Menschenrechtsaktivisten und Korruptionsbekämpfern nutzten. Die US-Tageszeitung New York Times fand heraus, dass Mexikos damaliger Staatssekretär für Menschenrechte, Alejandro Encinas, mit Pegasus ausgespäht wurde, als er Verfehlungen des mexikanischen Militärs untersuchte.

Auch in der Amtszeit des linken Präsidenten López Obrador (2018–2024) sollen trotz gegenteiliger Behauptungen Aktivisten und Journalisten mit Pegasus ausgespäht worden sein. Anfang des Jahres 2023 verlangte die mexikanische Datenschutzbehörde INAI vom Verteidigungsministerium die Offenlegung der Verträge um die Spionagesoftware Pegasus.

(akn)