Die Malware-Schutzsoftware von Comodo, genauer Comodo Internet Security Premium, enthält Schwachstellen, durch die Angreifer Schadcode einschleusen und ausführen können. Unklar ist der derzeitige Patch-Status – es scheint, der Hersteller hat zum Meldungszeitpunkt noch kein Update zum Schließen der Lücken parat.

Die Comodo-Software hat einige Fans damit gewonnen, dass die „Antivirus“-Version kostenlos erhältlich ist. Die etwas größere kommerzielle Variante Internet Security Premium 2025 hat ein IT-Sicherheitsforscher genauer unter die Lupe genommen – und dabei haarsträubende Fehler entdeckt.

Comodo: Zwei kritische Sicherheitslücken

Comodos Update-Server halten in der Datei „cis_update_x64.xml“ Metadaten von Binärdateien für Software-Updates vor. Die Client-Software überprüft die Authentizität und Integrität dieser Datei nicht, sodass Angreifer in einer Man-in-the-Middle-Position – etwa durch eine DNS-Spoofing-Attacke – dadurch bösartige Skripte einschleusen können, die mit SYSTEM-Rechten laufen. (CVE-2025-7096 / EUVD-2025-20153, CVSS 9.2, Risiko „kritisch„). Diese Manifest-Datei kennt einen Tag „exec“, der das Ausühren von Binärdateien mit Parametern erlaubt. Angreifer können beliebige Befehle ausführen lassen, um die Kontrolle zu übernehmen – mit SYSTEM-Rechten (CVE-2025-7097 / EUVD-2025-20157, CVSS 9.2, Risiko „kritisch„).

Die Comodo-Software nutzt den Wert in der Sektion „name“ sowie „folder“ als Download-Dateiname ohne weitere Filterung. Dadurch können Angreifer eine Path-Traversal-Schwachstelle in der Manifest-Datei missbrauchen und damit eine bösartige Datei im Startup-Ordner anlegen lassen; damit können sie nach einem Neustart die Maschine übernehmen (CVE-2025-7098 / EUVD-2025-20155, CVSS 6.3, Risiko „mittel„). Die letzte Schwachstelle betrifft die Verbindung zum Update-Server „download.comodo.com“. Der Comodo-Client prüft das SSL-Zertifikat des Servers nicht, wodurch Angreifer etwa mit einer DNS-Spoofing-Attacke den Traffic auf einen falschen Update-Server unter ihrer Kontrolle umleiten können (CVE-2025-7095 / EUVD-2025-20154, CVSS 6.3, Risiko „mittel„).

Betroffen ist der vollständigen Analyse mit Proof-of-Concept-Exploits zufolge Comodo Internet Security Premium 12.3.4.8162. Diese war zum Zeitpunkt der Dokumentation Mitte Juni mit allen verfügbaren Updates anfällig. Da die kostenlose Antivirus-Software wahrscheinlich denselben Code für Updates nutzt, dürfte sie ebenfalls verwundbar sein. Der IT-Forscher hat Comodo kontaktiert, jedoch keinerlei Rückmeldung erhalten.

Auch auf unsere Anfrage steht eine Antwort derzeit noch aus. Es ist wahrscheinlich, dass noch keine Updates verfügbar sind, die die Sicherheitslücken schließen.

Virenscanner weisen häufiger Schwachstellen auf, durch die sie eher zur Gefahr werden, anstatt vor solchen zu schützen. So wurde etwa Mitte Juni bekannt, dass der Virenschutz von Trend Micro löchrig war und damit PCs gefährdet hat.

(dmk)

Solche Nachrichten sieht man eher selten auf Darknet-Webseiten von kriminellen Banden: „Nach sorgsamer Abwägung und im Lichte jüngster Entwicklungen haben wir entschieden, das Hunters International-Projekt einzustellen“. Das schreibt die Ransomwaregruppe auf ihrem Darknet-Auftritt.

Der ist weitgehend leergeräumt. Informationen zu Unternehmen, bei denen die Kriminellen eingebrochen sind und von denen sie Daten entwendet haben, finden sich nicht mehr auf der Darknet-Webseite.

„Keine leichte Entscheidung“

„Diese Entscheidung haben wir nicht leichtfertig getroffen, und wir erkennen den Einfluss an, den sie auf Organisationen hat, mit denen wir interagiert haben“, schreiben die Cybergangster weiter. Wo sonst Strafverfolger nach dem Ausheben von Cybergangs deren Decryptoren zum Enschlüsseln von mit Ransomware verschlüsselten Daten veröffentlichen, wollen Hunters International den eigenen Angaben nach nun „als Geste des guten Willens und zum Helfen derjenigen, die von unseren früheren Aktivitäten betroffen sind, kostenlose Decryptor-Software für alle Unternehmen anbieten, die von unserer Ransomware betroffen sind“.

Die Täter schreiben weiter: „Unser Ziel ist es, sicherzustellen, dass Sie ihre verschlüsselten Daten wiederherstellen können, ohne die Last der Zahlung eines Lösegelds“. Der poliert klingende Text geht weiter mit: „Wir verstehen die Herausforderungen, die Ransomware-Angriffe darstellen, und hoffen, dass diese Initiative Ihnen hilft, schnell und effizient wieder Zugriff auf Ihre kritischen Informationen zu erlangen.“

Um Zugriff auf die Decryption-Tools und Anleitung zum Wiederherstellungsprozess zu erhalten, sollen Betroffene die offizielle Webseite besuchen. „Wir danken Ihnen für Ihr Verständnis und Ihre Mitarbeit während dieser Übergangsphase. Unser Engagement für die Unterstützung der betroffenen Organisationen bleibt auch nach Abschluss unserer Tätigkeit unsere Priorität“, schließen die Cyberkriminellen.

Auf der Darknet-Webseite, die vermutlich als offizielle Webseite der Hunters International gilt, finden sich derzeit jedoch keine weiteren Informationen oder Dateien. Unklar ist auch die Motivation zu diesem Schritt – möglicherweise wähnen sich die Täter bereits im Visier von Strafverfolgern und wollen so präventiv ein potenziell milderes Strafmaß erreichen.

Hunters International hatte einige namhafte Opfer gefunden. Mitte vergangenen Jahres gelang es der kriminellen Vereinigung offenbar, beim US Marshals Service (USMS) 380 GByte an Daten zu entwenden. Daran war eine Lösegeldzahlung in unbekannter Höhe geknüpft.

(dmk)

Vorneweg, ich liebe alles an dieser Geschichte: Es beginnt damit, dass ein Rechercheteam der Frankfurter Allgemeinen Sonntagszeitung (FAS) über Wochen hinweg zufällig ausgewählte Artikel in der deutschsprachigen Wikipedia mit Unterstützung von KI auf Fehler untersucht. Zu den Fehlern, die sich auf diese Weise besonders leicht auffinden lassen, zählen widersprüchliche Angaben in einem Beitrag sowie veraltete Informationen. Am Ende eines der größten Fact-Checking-Vorhaben der deutschen Journalismusgeschichte erscheint der Artikel „Wikipedia weiß immer weniger“ (Paywall). Auf Basis der 1.000 Artikel umfassenden Stichprobe kommen die Redakteure der FAS zu folgendem Ergebnis:

Probleme gibt es auf mehr als jeder dritten Seite. Mindestens 20 Prozent der Seiten enthalten Informationen, die nicht mehr aktuell sind, und nur bei der Hälfte fällt es sofort auf. Dazu kommen fast noch einmal so viele Seiten mit Angaben, die noch nie gestimmt haben.

Im Anschluss an dieses Ergebnis diskutiert der FAS-Beitrag Ursachen – allen voran ein ständig wachsender Artikelbestand bei stagnierender Zahl an freiwilligen Autor:innen – und mögliche Lösungsvorschläge. Ich durfte anknüpfend an einen Beitrag hier bei netzpolitik.org aus dem Jahr 2022 ebenfalls welche beisteuern.

Transparente Vorgehensweise

Mindestens so interessant wie das Ergebnis ist aber die Beschreibung und Reflexion über die Methodik:

Auch das zeigt die F.A.S.-Untersuchung: Wenn sich Wikipedia und die Künstliche Intelligenz nicht einig waren, hatte die KI auch nicht öfter recht als Wikipedia. […] Gleichzeitig sind die meisten KI-Modelle auch mit den Wikipedia-Artikeln trainiert. Die KI hat also sehr wahrscheinlich einige Fehler übersehen, weil sie falsche Angaben aus Wikipedia gelernt hat.

Hinzu kommt, dass die Redakteure Valentin Bauer, Patrick Bernau, Christopher Herstell und Jacob Kramer ihr Vorgehen bei Artikelauswahl und KI-gestützter Fehlersuche samt vollständiger Liste der untersuchten Artikel ebenfalls in einem eigenen Beitrag dokumentiert haben (Paywall). Die radikale Transparenz der Wikipedia wird somit gespiegelt, ist es doch ebendiese Transparenz, die Analysen wie jene der FAS überhaupt erst möglich machen.

Von der FAS in die Wikipedia

Die Geschichte der FAS-Recherche ist an dieser Stelle aber nicht zu Ende. Im Gegenteil, in mancher Hinsicht beginnt sie mit der Veröffentlichung der Ergebnisse erst. Denn noch am Veröffentlichungswochenende fand die vollständige Liste an untersuchten Artikeln ihren Weg in die deutschsprachigen Wikipedia als bearbeitbare Tabelle. In der Erläuterung heißt es dort:

Falls ihr einen Fehler korrigiert oder entscheidet, dass eine Korrektur unnötig ist, wäre es schön, wenn ihr das in der Spalte ‚abgearbeitet‘ vermerkt.

Mit anderen Worten: Statt sich beleidigt zurückzulehnen, wurde die Recherche der FAS als Verbesserungsauftrag angenommen und sofort mit der Arbeit begonnen. Am Sonntag Abend, 6. Juli, waren die meisten der gröberen Schnitzer bereits ausgebügelt.

Parallel dazu wurden die Ergebnisse der Recherche sowie mögliche Lösungsansätze kontrovers, differenziert und öffentlich im Wikipedia-Kurier diskutiert, einem Nachrichtenblatt der Community. Stellvertretend für den konstruktiven Tenor vieler Beiträge dort:

‚Wikipedia-Bashing‘ mit eingebundener Werbung an die FAS-Leser, sich doch bitte bei der Wikipedia zu beteiligen, wenn man den gegenwärtigen Zustand für unbefriedigend hält? So ein ‚Bashing‘ könnten wir alle Tage gebrauchen…

Fazit

Die Moral von der Geschichte? Wissen ist und bleibt eine endlose und kollektive Aufgabe. Alle, die sich mit ehrlichem Erkenntnisinteresse daran beteiligen, leisten einen Beitrag. Fehler oder veraltetes Wissen aufzuzeigen ist dabei mindestens so wichtig wie das Zusammentragen und Aufbereiten von mit seriösen Quellen gestütztem Wissen selbst.

Dass Fehler systematisch recherchiert und zeitnah korrigiert werden können, ist ein Grundpfeiler für Glaubwürdigkeit und Qualität der Wikipedia als wichtigster Wissenssammlung unserer Zeit. Natürlich ist Wikipedia-Wissen immer nur vorläufig und nie völlig gesichert – wie Wissen ganz allgemein. Und wahrscheinlich ist es einer der wichtigsten aufklärerischen Verdienste der Wikipedia, diesen Umstand jeden Tag aufs Neue deutlich zu machen.