Nvidias Programmierschnittstelle CUDA weist Sicherheitslücken auf, wodurch unter anderem Schadcode auf Systeme gelangen kann. Davon sind je nach Sicherheitslücke Linux und Windows bedroht. Eine reparierte Ausgabe von CUDA Toolkit schafft Abhilfe.

Verschiedene Gefahren

Konkret sind von den Lücken (CVE-2025-33228 „hoch“, CVE-2025-33229 „hoch“, CVE-2025-33230 „hoch“, CVE-2025-33231 „mittel“) Nsight Systems und Nsight Visual Studio unter Linux und Windows betroffen. So können Angreifer etwa mit manipulierten Strings im Kontext des Installationspfads an den Schwachstellen ansetzen.

Sind Attacken erfolgreich, können Angreifer unter anderem unbefugt auf Daten zugreifen oder sogar Schadcode ausführen. Letzteres führt in der Regel zu einer vollständigen Kompromittierung von Computern.

In einer Warnmeldung von Nvidia finden sich derzeit keine Hinweise auf laufende Attacken. Um Systeme zu schützen, sollten Admins die mit Sicherheitspatches ausgerüstete CUDA-Toolkit-Version 13.1 installieren. Die Warnmeldung liest sich so, dass alle vorigen Ausgaben verwundbar sind.

In jüngster Vergangenheit hat Nvidia vorwiegend KI-Software mit Sicherheitsupdates versorgt.

(des)

Erst eine kleine Weihnachtspause, dann die Sonderfolge vom 39C3: Seit der letzten regulären Podcast-Episode hat sich einiges an aktuellen Problemen und Lücken angesammelt und die Hosts lassen sich zu einer extralangen Folge hinreißen. Los geht es mit einem Portal des Bundesamtes für Sicherheit in der Informationstechnik, das eigentlich eine gute Idee ist: Über das Portal soll man dem BSI anonym Schwachstellen melden können. Leider bedeutet gut gemeint nicht auch gut gemacht, sodass es weder mit der Anonymität noch mit der grundsätzlichen Benutzbarkeit des Formulars sonderlich weit her ist. Die Hosts rätseln, wie die Umsetzung derart schieflaufen konnte.

Weniger rätselhaft, aber auch sehr schwierig zu verhindern sind Tracking-Angriffe auf Signal und andere private Messenger. Deren automatische Empfangsbestätigungen erlauben nämlich Rückschlüsse auf die App-Nutzung und unter Umständen auch auf den Aufenthaltsort von Nutzern. Gleichzeitig erfüllen die Bestätigungsnachrichten mehrere sicherheitsrelevante Aufgaben, sodass man sie nicht einfach abschalten sollte. Die Hosts vollziehen eine interessante Diskussion in Signals GitHub-Repository nach, in der verschiedene Ideen vorgebracht und verworfen wurden.

Im weiteren Verlauf der Folge geht es – wenig verwunderlich – um Public-Key-Infrastruktur (PKI), aber diesmal nicht um die übliche WebPKI, sondern eine zum Signieren von Programmcode. Deren Zustand ist eher beklagenswert, unter anderem tritt immer wieder Malware mit validen Zertifikaten auf. Ein solides System zum Widerruf von Zertifikaten fehlt; treue Podcast-Hörer und -Hörerinnen erkennen hier möglicherweise ein Muster.

Muster erkennt auch Sylvester und zwar in Problemen von GnuPG, die auf dem 39. Chaos Communication Congress demonstriert wurden. Die waren nicht nur zahlreich, sondern förderten auch etliche bekannte Kritikpunkte zutage, von denen viele nicht nur GnuPG, sondern das PGP-System insgesamt betreffen. Besserung scheint kaum in Sicht, aber je nach Anwendungsfall gibt es zumindest Auswege und Alternativen. Trotz der ausufernden Folgenlänge kann Sylvester sich nicht verkneifen, einen technisch besonders ausgefuchsten Angriff nachzuerzählen. Christopher geht es ähnlich: Zum Abschluss berichtet er von Lücken im Automatisierungstool n8n, die sich geschickt zu einem gefährlichen Angriff kombinieren lassen.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)

In Straßburg hat die EU-Kommission Dienstag eine Zäsur für den europäischen IT-Markt eingeleitet. Ihr Entwurf für den Cybersecurity Act 2 sucht Lösungen für eine Ära, in der digitale Infrastrukturen zum Schauplatz geopolitischer Machtkämpfe geworden sind. Die Kommission verlässt damit den Pfad unverbindlicher Empfehlungen und will eine Rechtsgrundlage schaffen, um Anbieter mit kritischem Risikoprofil wie Huawei oder ZTE aus China konsequent aus europäischer Infrastruktur verdrängen zu können.

„Festung Europa“

Die Stoßrichtung des Gesetzespakets ist unmissverständlich: Die EU will ihre Abhängigkeit von Drittstaaten-Ausrüstern beenden, die im Ernstfall als verlängerter Arm ausländischer Regierungen fungieren könnten. Was bisher vor allem für 5G-Netze im Rahmen einer „Toolbox“ galt, soll nun auf insgesamt 18 kritische Sektoren ausgedehnt werden. Die Kommission macht deutlich: Es geht nicht mehr nur darum, ob ein Router eine Hintertür hat. Vielmehr gelte es zu beachten, wer so ein Gerät gebaut hat und welchen Gesetzen dieser Hersteller in seiner Heimat unterliegt. Ziel ist eine „Festung Europa“ im digitalen Raum.

„Sicherheit ist kein optionales Extra, sondern das Fundament unserer digitalen Souveränität und die Voraussetzung für eine krisenfeste Wettbewerbsfähigkeit in einer instabilen Welt“, sagte Henna Virkkunen, die für Technik-Souveränität zuständige Kommissionsvizepräsidentin, am Dienstag. IT-Sicherheit müsse von der reinen IT-Aufgabe zum zentralen Element der nationalen Sicherheitspolitik aufgewertet werden.

Wie erwartet, enthält der Entwurf keine Liste von Staaten oder Unternehmen, von denen nach Ansicht der Kommission erhöhtes Risiko ausgeht. Diese EInschätzung kann sich ja rahsc ändern. Die EU-Staaten sollen vielmehr gemeinsam Risiken in Lieferketten erkennen und minimieren. Dabei sollen sie explizit wirtschaftliche Auswirkungen berücksichtigen, um Versorgungsengpässe bei Komponenten wie Chips zu verhindern.

Beschleunigte Zertifizierung als Wettbewerbsvorteil

Um den Ausschluss problematischer Anbieter wirtschaftlich abzufedern, setzt die Kommission auf einen Ausbau von Zertifizierung. Der neue Europäische Rahmen für die Cybersicherheitszertifizierung (ECCF) soll sicherstellen, dass Produkte nach dem Prinzip „Security by Design“ entwickelt werden. Und das mit Tempo: Neue Zertifizierungsschemata sollen künftig standardmäßig innerhalb von nur zwölf Monaten entwickelt werden. Bisher hinkte die Regulierung der technischen Entwicklung oft hinterher. Für Firmen in der EU soll das zum Wettbewerbsvorteil werden: Wer zertifiziert ist, weist nach, dass er die strengen EU-Sicherheitsvorgaben erfüllt.

Im Fokus stehen dabei kleine und mittlere Unternehmen (KMU), die oft unter der Last der Bürokratie stöhnen. Hier greift die Kommission korrigierend ein: Rund 28.700 Unternehmen sollen durch Vereinfachungen entlastet werden. Eine neue Kategorie für „Midcap-Unternehmen“ soll die Compliance-Kosten für zehntausende Firmen senken, ohne dass dabei Abstriche bei der Sicherheit gemacht werden. Ergänzt wird dies durch einen zentralen Meldeweg für Sicherheitsvorfälle (Single Entry Point), der die Reaktionsgeschwindigkeit bei Ransomware-Attacken massiv erhöhen dürfte.

Enisa als Knotenpunkt der Verteidigung

Ein zentraler Pfeiler der neuen Sicherheitsarchitektur ist die EU-Cybersicherheitsagentur Enisa. Ihr Mandat wird nicht nur verstetigt, sondern ausgebaut. Die Agentur rückt ins Zentrum der europäischen Verteidigungslinie: Sie soll Frühwarnsysteme betreiben, die Zusammenarbeit mit Europol koordinieren und Unternehmen aktiv dabei unterstützen, sich nach Angriffen wieder aufzurappeln. Mit einer neuen, bei der Enisa angesiedelten Akademie für Cybersicherheitskompetenzen und EU-weiten Zertifikaten für IT-Sicherheitspersonal will die Kommission die personelle Basis für den Betrieb sicherer Netze schaffen.

Mit dem Aufschlag beginnt das Gesetzgebungsverfahren im Parlament und im Rat der EU. Stimmen diese zu, tritt die Verordnung unmittelbar in Kraft. Für die nationalen Regierungen bedeutet das Paket auch, dass sie innerhalb eines Jahres flankierende Änderungen der NIS2-Richtlinie umsetzen müssen.

Für Größen wie Huawei, dessen Mobilfunktechnik in Deutschland schon schrittweise zurückgebaut wird, tickt damit die Uhr: Die Zeit, in der sie trotz Sicherheitsbedenken tragende Rollen bei europäischer Infrastruktur spielen konnten, neigt sich dem Ende zu. Bundeskanzler Friedrich Merz (CDU) hat sich bereits klar positioniert, keine Komponenten von chinesischen Herstellern in deutschen 6G-Netzen zulassen zu wollen.

Doch reicht das Vorhaben der EU weit über den Mobilfunk hinaus: Auch in anderen kritischen Bereichen wie bei der Bahn, dem Energiesektor oder in städtischen Netzen ist seit Jahren Technik chinesischer Hersteller im Einsatz. Und Huawei ist Weltmarktführer bei Wechselrichtern für Solaranlagen.

(vbr)