In Oracles E-Business Suite können Angreifer an einer Schwachstelle in Oracle Payments ansetzen, um die Systeme vollständig zu übernehmen. IT-Sicherheitsforscher haben nun Angriffe auf die Lücke in freier Wildbahn beobachtet.

Die IT-Forscher von DefusedCyber haben am Montag auf X gepostet, dass sie seit dem Wochenende Angriffe auf diese Sicherheitslücke in ihren Honeypot-Systemen beobachtet haben. Bis dahin war noch kein Missbrauch der Lücke oder Proof-of-Concept-Code bekannt, erklären die IT-Sicherheitsforscher. Weitere Hinweise, wie die Angriffe genau aussehen oder in welchem Umfang sie stattfinden, nennt DefusedCyber jedoch nicht. Aus dem Ausschnitt der Anfrage, die der Screenshot auf X zeigt, lässt sich dahingehend nichts ableiten. Es gibt daher auch keine Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), anhand derer Admins ihre Systeme auf Spuren von Attacken untersuchen könnten.

Oracle E-Business Suite: Angriffe aus dem Netz

Die Sicherheitslücke ermöglicht nicht authentifizierten Angreifern aus dem Netz, die HTTP-Zugriff auf verwundbare Systeme haben, eine Schwachstelle in der Dateitransfer-Komponente von Oracle Payments aus der Oracle E-Business Suite zum Kompromittieren von Oracle Payments auszunutzen. Das Leck ist einfach zu missbrauchen, schreibt Oracle in der Schwachstellenbeschreibung (CVE-2026-46817, CVSS 9.8, Risiko „hoch“). Betroffen ist Oracle Payments in den Versionen 12.2.3 bis einschließlich 12.2.15.

Oracle hat die Sicherheitslücke am ersten „Critical Security Patch Update“ (CSPU) im Mai dieses Jahres mit einem Softwareflicken versorgt. In der Übersicht zu dem Mai-Patchday von Oracle findet sich jedoch bislang noch kein Hinweis darauf, dass die Sicherheitslücke aktiv angegriffen wird.

Die Schwachstelle weckt Erinnerungen an Sicherheitslücken in Oracles E-Business Suite, die im Herbst vergangenen Jahres massiv angegriffen wurden. Die Täter haben die Oracle-Kunden im Anschluss um Lösegeld erpresst.

(dmk)

Positives Führen hat nichts mit Ponyhof zu tun – das ist einer der ersten Sätze, die Christian Thiele im Gespräch mit Richard Seidl sagt, und bringt damit das Thema direkt auf den Punkt. Die beiden sprechen darüber, was hinter dem PERMA-Modell steckt: fünf konkrete Stellschrauben, mit denen Führung im Alltag greifbar wird, von positiven Emotionen über psychologische Sicherheit bis hin zum bewussten Feiern von Erfolgen. Es kommt auch zur Sprache, warum Leadership keine Frage der Rolle ist und was passiert, wenn man den besten Entwickler zum Projektleiter macht, nur weil Karriere bisher immer über Führung lief.

„Niemand weiß so richtig, wer eigentlich wirklich wem was zu sagen hat und welche Konsequenzen das hat.“ – Christian Thiele

Christian Thiele ist Experte für Positive Leadership und unterstützt Führungskräfte, Teams und Organisationen mit Coachings, Trainings, Vorträgen, Teamentwicklungen und Konfliktklärungen. Zunehmend ist er auch im Hochschulkontext tätig, unter anderem als Standortleiter München-Ismaning im Studiengang „Positive Psychologie und Coaching“ an der Deutschen Hochschule für Sport und Gesundheit. Mit Haltung und Methoden der Positiven Psychologie möchte er dazu beitragen, dass Einzelne und Gruppen mehr Erfolg, mehr Kreativität, mehr Sinnhaftigkeit und mehr Freude in der Arbeit erleben. Gleichzeitig unterstützt er Menschen und Organisationen dabei, weniger Frust zu erleben, Stress besser zu bewältigen und leichter vom Krach zur Kooperation zu kommen.

Softwarequalität im Gespräch

Dieses Format fokussiert sich auf Softwarequalität: Ob Testautomatisierung, Qualität in agilen Projekten, Testdaten oder Testteams – Richard Seidl und seine Gäste betrachten die Dinge, die die Qualität in der Softwareentwicklung steigern.

Die aktuelle Episode ist auch auf Richard Seidls Blog verfügbar.

(mai)

Vollständig KI-generierte Musik erzielt auf dem Streamingdienst Tidal keine Einnahmen mehr, geht aus einer neuen Richtlinie des Unternehmens hervor. Solche Titel sind von Tantiemen ebenso ausgeschlossen wie von Direktverkäufen an Fans, heißt es in der am Montag veröffentlichten Richtlinie.

Verboten wird KI-Musik damit auf der Musikstreaming-Plattform nicht. Tidal akzeptiert sie laut der veröffentlichten Richtlinie weiterhin. Vollständig per KI erzeugte Stücke bekommen ein sichtbares KI-Symbol. Das Kennzeichen erscheint ab Mitte Juli und soll später auch auf überwiegend KI-generierte Musik ausgeweitet werden.

Härter gegen Betrug

Ab Mitte Juli blockiert oder entfernt Tidal allerdings KI-Musik, die mit betrügerischer Aktivität in Verbindung steht. Dazu zählt das Unternehmen Titel, die Hörer täuschen, echte Künstler und ihr Publikum „beeinträchtigen“ oder über Massen-Uploads und sonderbare Streaming-Muster auffallen. Auch Stücke, die Stimme oder Namen existierender Künstler imitieren, will Tidal mit automatisierten Werkzeugen aufspüren und löschen.

Die Verantwortung will Tidal nicht allein tragen. Künftig sollen Vertriebspartner KI-Inhalte bereits kennzeichnen, bevor diese den Dienst erreichen. Tony Gervino, Executive Vice President und Chefredakteur von Tidal, begründet den Schritt in einer separaten Mitteilung: „Egal, was man anderswo liest: Die Übernahme der Musikindustrie durch KI ist nicht unvermeidlich, wenn wir jetzt noch entschiedener handeln, um sie zu überwachen und zu kontrollieren.“

44 Prozent sind KI

Wie verbreitet KI-Musik inzwischen ist, zeigen etwa Zahlen von Deezer. Täglich erreichen den französischen Dienst knapp 75.000 KI-generierte Tracks, das sind rund 44 Prozent der neu hochgeladenen Musik. Auf Deezer entfallen derweil nur 1 bis 3 Prozent der Streams auf KI-Musik, weil der Dienst erkannte Titel aus seinen Empfehlungen ausschließt. Laut Deezer werden zudem rund 85 Prozent dieser KI-Streams als betrügerisch erkannt und demonetarisiert. Deezer bietet ein kostenloses Tool, das Playlists auf KI-generierte Musik prüft.

Spotify nennt keine vergleichbaren Upload-Zahlen, hat aber einen Spam-Filter eingeführt und kennzeichnet die Authentizität von Künstlern. Im vergangenen September gab Spotify an, 75 Millionen Spam-Tracks entfernt zu haben. Bandcamp untersagte KI-Musik im Januar komplett, Apple Music führte im März Transparenz-Tags ein.

(dahe)