Angreifer können an mehreren Sicherheitslücken in Ivanti Connect Secure, Neurons for Secure Access, Policy Secure und ZTA Gateways ansetzen, um Systeme zu attackieren.

Instanzen absichern

Über die Fernzugriffslösungen regeln Admins etwa den VPN- und Netzwerkzugriff in Unternehmen. Damit keine unberechtigten Zugriffe auf Firmennetzwerke stattfinden, sollten Admins die zum Download stehenden Sicherheitsupdates zeitnah installieren. Bislang gibt es noch keine Berichte über laufende Attacken.

Wie aus einer Warnmeldung hervorgeht, sind mehrere Lücken mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2025-55145, CVE-2025-55147, CVE-2025-55148, CVE-2025-55141, CVE-2025-55142). Sind Attacken erfolgreich, können Angreifer unter anderem eigene Befehle ausführen, die Kontrolle über HTML5-Verbindungen erlangen oder Einstellungen verbiegen. Für Letzteres muss ein Angreifer aber bereits Admin sein.

Wie Attacken konkret ablaufen könnten, ist bislang unklar. Die Entwickler versichern, dass die folgenden Ausgaben gegen die geschilderten Attacken abgesichert sind:

• Connect Secure 22.7R2.9 oder 22.8R2
• Policy Secure 22.7R1.5
• Neurons for Secure Access Sicherheitsproblem wurde in der Cloud gelöst. Admins müssen an dieser Stelle nichts tun.
• ZTA Gateways 22.8R2.3-724

Im Mai dieses Jahres kam es zu Attacken auf Ivantis Endpoint Manager Mobile (EPMM).

(des)

Schleswig-Holstein will frischen Wind in die zuletzt abgeflaute Debatte zur Digitalabgabe bringen. Mit einer Initiative im Bundesrat will das Land sehr große Online-Dienste wie Alphabet oder Meta zur Kasse bitten, um mit den Einnahmen die heimische Medienlandschaft zu fördern, gab gestern die Staatskanzlei bekannt.

„Die immer weiter zunehmende Marktdominanz internationaler Großplattformen stellt unsere lokalen und regionalen Medien vor existenzielle Herausforderungen“, sagte Dirk Schrödter (CDU), Digitalminister und Chef der Staatskanzlei, in einer Pressemitteilung. Gerade auch die jüngste Entscheidung der EU-Kommission im Fall Google, der wichtigsten Unternehmenstochter von Alphabet, habe einmal mehr gezeigt, dass dringender Handlungsbedarf besteht, so Schrödter.

Vergangene Woche hat Brüssel eine knapp 3 Milliarden Euro schwere Geldbuße gegen den US-Werbekonzern verhängt, zudem muss Google binnen 60 Tagen seine Interessenskonflikte auf dem Markt für Online-Werbung auflösen – womöglich sogar durch eine Entflechtung, wie EU-Wettbewerbskommissarin Teresa Ribera angedeutet hatte. Laut EU-Kommission hat der Konzern über ein Jahrzehnt lang seine Marktmacht missbraucht und damit dem Wettbewerb und letztlich auch den Medien geschadet, die sich traditionell über Anzeigen finanzieren.

Übermächtige Digitalkonzerne

Alphabet zählt zu einem der wertvollsten Unternehmen der Welt und hat allein im vergangenen Quartal einen Gewinn von über 31 Milliarden US-Dollar bei einem Umsatz von fast 97 Milliarden US-Dollar eingefahren. Wie viele andere große Digitalkonzerne bedient sich Alphabet nicht nur fragwürdiger Geschäftspraktiken, sondern zahlt auch unterdurchschnittlich wenig Steuern. Auf eine faire Besteuerung solcher Unternehmen konnte sich die EU jedoch schon vor Jahren nicht einigen. Seitdem sind einzelne EU-Länder, darunter Frankreich, Österreich und Italien, mit eigenen Modellen vorgeprescht und besteuern etwa Online-Werbeanzeigen.

Mit Verweis auf den österreichischen Ansatz hat Kulturstaatsminister Wolfram Weimer im Mai einen Vorstoß in Richtung einer Digitalabgabe gestartet. Zur Debatte steht ein Abgabesatz von 10 Prozent für große Tech-Unternehmen, welcher der deutschen Medienbranche zugutekommen soll. Innerhalb der Regierung war der Anlauf jedoch offenkundig nicht abgestimmt: Es hagelte Absagen unter anderem von Wirtschaftsministerin Katherina Reiche (CDU) und Finanzminister Lars Klingbeil (SPD). Öffentlich hält der parteilose Konservative Weimer bislang an einer zweckgebundenen Digitalabgabe fest, ein konkreter Gesetzentwurf soll im Herbst vorgestellt werden.

Digitalabgabe für sehr große Unternehmen

Von einem Gesetz ist die Initiative aus Schleswig-Holstein noch weit entfernt, könnte aber zumindest den Druck auf die Bundesregierung erhöhen. Inhaltlich enthält der gestern im Bundesrat eingebrachte Entschließungsantrag, der netzpolitik.org vorliegt, jedenfalls nicht mehr als die Pressemitteilung der Staatskanzlei. Grundsätzlich soll sich die Abgabe an bestimmten EU-Vorgaben orientieren, insbesondere was die davon erfassten Anbieter betrifft: Gelten soll die Abgabe ausschließlich für sehr große Plattformen, sogenannte VLOPs (Very Large Online Plattforms) beziehungsweise VLOSEs (Very Large Online Search Engines) mit monatlich mehr als 45 Millionen Nutzer:innen in der EU.

Wann genau die Länderkammer den Antrag behandeln wird, ist noch nicht bekannt. Unklar ist auch, ob und wie viele Länder sich dem nördlichen Bundesland anschließen werden. Auf Anfrage gibt sich die Staatskanzlei optimistisch und sieht den weiterführenden Beratungen im Bundesrat „positiv“ entgegen, teilt ein Pressesprecher mit. „Alle Bundesländer haben ein großes Interesse daran, die Medienvielfalt in Deutschland zu erhalten“, so der Sprecher.

Die Debatte spielt sich vor dem Hintergrund des weiter andauernden Zollstreits mit der US-Regierung von Donald Trump ab. Zwar hat sich die EU im Sommer auf ein Abkommen mit dem rechtsnationalistischen US-Republikaner geeinigt, inzwischen steht dieses jedoch wieder auf der Kippe – nicht zuletzt wegen der jüngsten Kartellstrafe gegen Alphabet, die laut Trump „nicht fair“ sei und US-Investitionen sowie Jobs bedrohe. Ob die unilateral von Trump verhängten und erneut angedrohten Zölle überhaupt legal sind, bleibt derweil offen: Ein Gerichtsverfahren ist mittlerweile vor dem Supreme Court gelandet, eine Anhörung vor dem Verfassungsgericht soll Anfang November stattfinden.

Googles Chrome ist unter Linux, macOS und Windows angreifbar. Eine reparierte Version steht zum Download bereit.

Zwei Gefahren gebannt

In einer Warnmeldung listen die Entwickler zwei nun geschlossene Sicherheitslücken (CVE-2025-10200 „kritisch„, CVE2025-10201 „hoch„) auf. Der knappen Beschreibung zufolge betrifft die kritische Schwachstelle die Serviceworker-Komponente. Hier können Angreifer auf einem nicht näher ausgeführten Weg Speicherfehler (Use after free) auslösen. In solchen Fällen gelangt üblicherweise Schadcode auf Systeme und kompromittiert sie.

Die konkreten Auswirkungen nach erfolgreichen Attacken auf die zweite Lücke sind bislang unklar. Gegen die geschilderten Angriffe sind die Chrome-Ausgaben 140.0.7339.127 (Linux), 140.0.7339.132/.133 (macOS) und 140.0.7339.127/.128 (Windows) gerüstet.

Standardmäßig aktualisiert sich der Webbrowser automatisch. Um die installierte Version zu prüfen und manuell ein Update anzustoßen, muss man unter „Hilfe“ den Punkt „Über Google Chrome“ aufrufen.

(des)