Acht Sicherheitslücken bedrohen die cloudbasierte Patchmanagementplattform HCL BigFix SaaS Remediate. Angreifer können die Anwendung unter anderem abstürzen lassen.

Über die Patchmanagementplattform halten Admins unter anderem verwaltete Endpoints auf dem aktuellen Stand.

Verschiedene Gefahren

Aus einer Warnmeldung geht hervor, dass eine Lücke (CVE-2025-7783) als „kritisch“ gilt. Unter bestimmten Bedingungen können Angreifer Anfragen an interne Systeme manipulieren. Was das für konkrete Auswirkungen haben kann, geht aus der Beschreibung der Schwachstelle nicht hervor.

Für eine weitere Lücke (CVE-2025-7338) gilt der Bedrohungsgrad „hoch„). An dieser Stelle können Angreifer über präparierte Upload-Anfragen DoS-Zustände herbeiführen. Das führt in der Regel zu Abstürzen von etwa Softwarediensten.

Für die verbleibenden Sicherheitslücken gilt der Bedrohungsgrad „mittel„. An diesen Stellen können Angreifer nach erfolgreichen Attacken etwa auf eigentlich geschützte Systemdaten zugreifen.

Sicherheitsupdates stehen zum Download

Bislang gibt es noch keine Berichte über laufende Attacken. Unklar ist zum jetzigen Zeitpunkt auch, woran Angreifer bereits erfolgte Angriffe erkennen können. Um die geschilderten Attacken vorzubeugen, hat HCL verschiedene, in der Warnmeldung aufgeführte, Front-End-Applications- und Back-End-Services-Versionen veröffentlicht.

Das Patchen sollten Admins nicht zu lange herauszögern. Schließlich können erfolgreiche Attacken auf Unternehmen, die über HCL BigFix ihre Endpoints verwalten, weitreichende Folgen haben.

Ende Juli dieses Jahres haben die HCL-Entwickler Lücken in ihrer Endpoint-Management-Plattform HCL BigFix geschlossen.

(des)

Bei der US-Tochter Allianz Life der Allianz-Versicherung gab es im Juli einen großen Datendiebstahl. Cyberkriminelle erbeuteten eine Datenbank mit persönlichen Daten der Kunden. Nun sind die Daten auch beim Have-I-Been-Pwned-Projekt (HIBP) gelandet. Hier können Interessierte prüfen, ob ihre Daten etwa in diesem Datenleck enthalten waren.

Der Einbruch fand bereits im vergangenen Monat statt, die Allianz taxiert ihn auf den 16. Juli dieses Jahres. Ein Unternehmenssprecher sagte dazu, dass es sich um eine Datenbank mit Informationen über Kunden handele. Die Angreifer hätten ihm zufolge mithilfe von Social-Engineering-Technik personenbezogene Daten „der meisten Kunden von Allianz Life, Finanzfachleute und ausgewählte Mitarbeiter von Allianz Life abrufen“ können.

Troy Hunt, der HIBP betreibt, führt das Datenleck auf derzeitige Angriffe auf Salesforce zurück. Er schreibt zu den nun hinzugefügten Daten von Allianz Life, dass die Angreifer an 1,1 Millionen einzelne E-Mail-Adressen, Namen, Geschlecht, Geburtsdaten, Telefonnummern und Anschriften gelangen konnten. Auf der Hauptseite von HIBP können Interessierte prüfen, in welchen Datenlecks ihre E-Mail-Adresse aufgetaucht ist.

Deutsche Kunden wohl nicht betroffen

Ende Juli machte Allianz Life keine Angaben dazu, wie viele Kunden von dem Datenabfluss betroffen sind – hier schafft Hunts HIBP nun Klarheit. Da Allianz Life seine Produkte ausschließlich in den USA anbietet, dürften jedoch so gut wie keine deutschen Kunden betroffen sein. Das Unternehmen gibt jedoch an, 1,4 Millionen Kunden in den USA zu haben – unklar bleibt, woher die Differenz zu den 1,1 Millionen kopierten Datensätzen kommt.

Die Allianz Life hat in den USA die zuständigen Behörden eingeschaltet und arbeitet mit den Strafverfolgern vom FBI zusammen. Angaben dazu, ob die Angreifer eine Lösegeldforderung gestellt haben, machte das Unternehmen hingegen nicht.

(dmk)

Im Streit um eine von der britischen Regierung gesetzlich geforderte Hintertür für iCloud gibt es zumindest mit Washington nun eine Einigung. Das teilte Tulsi Gabbard, die in der Trump-Administration als Director of National Intelligence, also Geheimdienstkoordinatorin, dient, auf X mit. Seit einigen Monaten habe man „eng mit unseren Partnern in Großbritannien“ gearbeitet, „um sicherzustellen, dass die privaten Daten der Amerikaner privat bleiben und unsere verfassungsmäßigen Rechte und bürgerlichen Freiheiten geschützt bleiben“. Präsident Trump und Vizepräsident J.D. Vance seien eingebunden gewesen.

Großbritannien wollte verschlüsselte Daten

Das Ergebnis sei, dass das Vereinigte Königreich seine Anordnung an Apple fallen gelassen habe, eine „Back Door“ in seine Systeme (konkret: iCloud) zur Verfügung zu stellen. Laut Gabbard hätte diese dafür gesorgt, dass Großbritannien auf „geschützte verschlüsselte Daten amerikanischer Bürger“ hätte zugreifen können, ein Eingriff in deren „Civil Liberties“. Gabbard machte zunächst keine Angaben dazu, wie der Deal konkret aussieht und ob es eine Gegenleistung dafür gibt.

Zuvor hatte es massive diplomatische Verstimmung zwischen Washington und London um die mögliche iCloud-Hintertür gegeben. Sie sollte im Rahmen des britischen Schnüffelgesetzes UK Investigatory Powers Act umgesetzt werden, das auch die sozialdemokratische Regierung von Keir Starmer weiterverfolgt. Apple hatte zunächst nicht einmal öffentlich zugeben können, von dem Gesetz betroffen zu sein, da die Anordnung geheim ist, dann aber versucht, sich juristisch zu wehren. US-Präsident Trump hatte Großbritanniens Pläne mit denen von China verglichen. „Das geht nicht“, sagte er.

Keine Angaben von der britischen Regierung

Der britische Ministerpräsident Starmer war am Montag in Washington, um zusammen mit weiteren europäischen Staatsspitzen sowie dem ukrainischen Präsidenten Selensky über einen Frieden im Ukraine-Krieg zu verhandeln. Einen Kommentar der britischen Regierung zu Gabbards X-Statement gab es nicht. Eine Sprecherin teilte gegenüber der Nachrichtenagentur Reuters nur mit, die Regierung werde „stets alle notwendigen Maßnahmen im Inland“ ergreifen, damit britische Bürger sicher blieben. Auch Apple reagierte auf Nachfrage zunächst nicht.

Der Konzern hatte zuletzt seine Verschlüsselungsfunktion Advanced Data Protection (ADP) für iCloud für britische Kunden abgeschaltet. Damit hat der Konzern selbst Zugriff auf die notwendigen Schlüssel und könnte Daten britischer Bürger an Behörden herausgeben, sofern entsprechende Anordnungen vorliegen. Apple hatte sich stets gewehrt und mitgeteilt, man werde keine Hintertür in Geräte und Verschlüsselungssysteme einbauen. Apple strengte auch juristische Maßnahmen beim zuständigen Spezialgericht, dem geheimen Investigatory Powers Tribunal (IPT), an. Ob diese weiterlaufen, ist unklar – ebenso wenig, ob Großbritannien eventuell versucht, Daten von Bürgern außerhalb Amerikas zu erlangen. Über einen Deal mit der EU zu dem Thema ist nichts bekannt.

(bsc)