Verschiedene Dell-Computer, auf denen ControlVault 3 installiert ist, sind angreifbar. Um möglichen Attacken vorzubeugen, sollten Admins die Anwendung zeitnah auf den aktuellen Stand bringen.

Sicherheitspatch installieren

Dell ControVault3 ist eine hardwarebasierte Sicherheitslösung, die Zugangsdaten wie Passwörter und biometrische Daten speichert. Nun könnten Angreifer nach erfolgreichen Attacken auf diese Daten zugreifen.

In einer Warnmeldung listet der Computerhersteller insgesamt sieben Sicherheitslücken auf. Diese stecken in der Broadcom-Firmware und den -Treibern. In dem Beitrag finde sich auch die bedrohten Laptopmodelle wie Latitude 7330, Precision 7780 und Pro 13 Plus PB13250. Die Entwickler versichern, ControlVault3 6.2.36.47 abgesichert zu haben. Alle vorigen Versionen seien verwundbar.

Die Gefahren

Am gefährlichsten gelten zwei Lücken (CVE-2025-36553 „hoch„, CVE-2025-32089 „hoch„), an der Angreifer mit einem präparierten ControlVault-API-Call an die CvManager-Funktionalität ansetzen können. Das führt zu einem Speicherfehler (Buffer overflow) und darüber kann Schadcode auf Systeme gelangen. Danach gelten Computer in der Regel als vollständig kompromittiert.

Eine weitere Schwachstelle (CVE-2025-31649) mit dem Bedrohungsgrad „hoch“ kann unerlaubte Zugriffe ermöglichen. Der Grund dafür ist ein hartkodiertes Passwort. Weiterhin können sich Angreifer höhere Rechte verschaffen (CVE-2025-31361 „hoch„).

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Weil ein Passwortspeicher ein äußerst lohnendes Ziel für Cyberkriminelle ist, sollten Admins das Sicherheitsupdate zügig installieren. Andernfalls können sich Angreifer nach einer erfolgreichen Attacke weitreichenden Zugriff auf Firmen-PCs verschaffen.

Erst kürzlich haben Dells Entwickler Sicherheitslücken in Alienware Command Center geschlossen.

(des)

Im November stand das erste monatliche Sicherheitsupdate nach dem offiziellen Windows-10-Support-Ende an, das im Rahmen des erweiterten Supports erhältlich ist. Allerdings läuft das nicht rund, sodass Microsoft sich zur Veröffentlichung eines weiteren Updates außer der Reihe genötigt sieht.

Im Windows Message Center erklärt Microsoft, dass einige Windows-10-22H2-Installationen im kommerziellen Bereich, die für die Extended Security Updates (ESU) angemeldet sind, Probleme bei der Installation des Sicherheitsupdates für den November haben. Am November-Patchday hat Microsoft vor einer Woche für Windows 10 das Update mit der KB-Nummer KB5068781 veröffentlicht, das diverse Sicherheitslücken im Betriebssystem schließt.

Bei der Installation kann in den beobachteten Fällen die Fehlermeldung „0x800f0922 (CBS_E_INSTALLERS_FAILED)“ erscheinen und der Vorgang abbrechen. „Das Problem ist begrenzt auf Maschinen, deren Windows-Betriebssystemlizenzen mittels Windows Subscription Activation im Microsoft 365 Admin Center aktiviert wurden“, erklärt Microsoft weiter. „Betroffene Einrichtungen können das Problem lösen, indem sie das Update KB5072653 ‚Extended Security Updates (ESU) Licensing Preparation Package for Windows 10‘ installieren, das am 17. November veröffentlicht wurde“, erörtern die Redmonder, „nachdem Sie das Vorbereitungspaket (KB5072653) installiert haben, sind Sie in der Lage, das Sicherheitsupdate aus dem November 2025 (KB5068781) zu verteilen“.

Nicht die ersten Probleme mit dem erweiterten Windows-10-Support

Für Organisationen, die anhand von .cab-Dateien Compliance-Prüfungen vornehmen, will Microsoft in Kürze ein neues „Scan Cab“ bereitstellen. Es handelt sich bei dem jetzt gemeldeten Problem mit der Installation des November-Sicherheitsupdates nicht um die ersten Zipperlein mit dem erweiterten Support für Windows 10.

In der vergangenen Woche hatte Microsoft bereits ein Update außerhalb der Reihe für Windows 10 22H2 veröffentlicht. Es korrigiert ein Problem auf Rechnern mit Windows-Home- und -Pro-Lizenzen. Bei denen konnte zuvor der Einrichtungsprozess für den erweiterten Support fehlschlagen. Auf Rechnern, bei denen das der Fall war, bietet Microsoft daher das Out-of-Band-Update KB5071959 an, nach dessen Installation sich die Support-Verlängerung für ein Jahr einrichten lässt.

(dmk)

Im populären Webbrowser Chrome attackieren bösartige Akteure eine hochriskante Sicherheitslücke. Google stellt ein Update außer der Reihe bereit, das die Schwachstelle ausbessert. Chrome-Nutzerinnen und -Nutzer sollten die Aktualisierung zügig installieren.

Davor warnt Google in der Meldung des Updates. Details nennt das Unternehmen wie üblich nicht, lediglich die grobe Beschreibung, dass es sich um eine Schwachstelle der Art „Type Confusion“ in der Javascript-Engine V8 handelt (CVE-2025-13223). Bei einer Type-Confusion passen die genutzten Datentypen nicht zueinander, was zu Speicherzugriffen außerhalb vorgesehener Grenzen führen kann. Laut Schwachstellenbeschreibung können Angreifer mit sorgsam präparierten Webseiten heap-basierte Störungen provozieren, was in diesem Fall offensichtlich zur Ausführung von eingeschleustem Code führt. Ein Angriffsvektor steht ebenfalls bereit: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Er führt zu einem CVSS-Wert von 8.8, was dem Risiko „hoch“ entspricht und nur ganz knapp die Bewertung „kritisch“ verpasst. Wie die Angriffe aussehen und in welchem Umfang sie auftreten, erörtert Google nicht.

Die aktualisierte Browser-Fassung stopft noch ein weiteres Sicherheitsleck. Es handelt sich um eine weitere Type-Confusion-Schwachstelle in der V8-Javascript-Engine. Der Angriffsvektor ist identisch zur bereits angegriffenen Lücke und führt für CVE-2025-13224 zu einem CVSS-Wert von 8.8, Risiko „hoch„.

Aktualisierte Brwoserversion stopft Sicherheitslecks

Google beseitigt die Sicherheitslücken in den Chrome-Versionen 142.0.7444.175 für Linux, 142.0.7444.176 für macOS und 142.0.7444.175/.176 für Windows. Ob sie bereits installiert sind, lässt sich über den Versionsdialog herausfinden.

Den erreicht man durch Öffnen des Browser-Einstellungsmenüs durch Klick auf die drei übereinandergestapelten Punkte rechts der Adressleiste. Dort geht es weiter zu „Hilfe“ und schließlich zu „Über Google Chrome“. Das zeigt die aktuell laufende Version an und startet den Update-Prozess, sofern eine aktuellere Fassung vorliegt. Unter Linux ist die Softwareverwaltung der Distribution für Updates verantwortlich und sollte zur Suche nach Aktualisierungen aufgerufen werden.

Andere Webbrowser, die den Chromium-Code verwenden, dürften in Kürze ebenfalls mit einem Update ausgestattet werden, da die Schwachstelle wahrscheinlich auch darin vorhanden ist. Daher sollten diejenigen, die etwa Microsoft Edge einsetzen, auch regelmäßig den Versionsdialog aufrufen und schauen, ob ein Update bereitsteht.

Zuletzt hatte Google eine bereits aktiv angegriffene Schwachstelle in Chrome Mitte September des Jahres ausbessern müssen. Auch da fand sich eine Lücke in der Javascript-Engine V8.

(dmk)