[NEU] [hoch] Ivanti Neurons for ITSM: Schwachstelle ermöglicht Privilegieneskalation
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Ivanti Neurons for ITSM ausnutzen, um seine Privilegien zu erhöhen.
0
Anzahl der Newsfeeds
Newsfeed bereitgestellt von BUND/Cert: https://wid.cert-bund.de
[NEU] [UNGEPATCHT] [mittel] Red Hat OpenShift: Schwachstelle ermöglicht Denial of Service
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Red Hat OpenShift ausnutzen, um einen Denial of Service Angriff durchzuführen.
[NEU] [mittel] OpenSC: Schwachstelle ermöglicht Codeausführung
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in OpenSC ausnutzen, um beliebigen Programmcode auszuführen.
[NEU] [hoch] Microsoft SharePoint: Schwachstelle ermöglicht Codeausführung
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Microsoft SharePoint Server ausnutzen, um beliebigen Programmcode auszuführen.
[NEU] [niedrig] Apache Kafka: Schwachstelle ermöglicht Offenlegung von Informationen
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Apache Kafka ausnutzen, um Informationen offenzulegen.
[NEU] [hoch] Mozilla Firefox für iOS: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox für iOS ausnutzen, um beliebigen Programmcode auszuführen.
[UPDATE] [mittel] Apache Airflow: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Apache Airflow ausnutzen, um beliebigen Programmcode auszuführen, um Informationen offenzulegen, um Dateien zu manipulieren, und um Sicherheitsvorkehrungen zu umgehen.
[UPDATE] [hoch] Apache ActiveMQ: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Apache ActiveMQ ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen, Informationen offenzulegen, seine Rechte zu erweitern, Daten zu manipulieren und Code auszuführen.
[NEU] [mittel] OpenCTI: Schwachstelle ermöglicht Cross-Site Scripting
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in OpenCTI ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen.
[NEU] [mittel] PostgreSQL JDBC Driver: Schwachstelle ermöglicht Denial of Service
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in PostgreSQL JDBC Driver ausnutzen, um einen Denial of Service Angriff durchzuführen.
[NEU] [hoch] Laravel: Schwachstelle ermöglicht Manipulation von Daten
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Laravel ausnutzen, um Daten zu manipulieren.
[NEU] [hoch] IBM Business Automation Workflow: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in IBM Business Automation Workflow ausnutzen, um Sicherheitsvorkehrungen zu umgehen, um einen Denial of Service Angriff durchzuführen, um Informationen offenzulegen, um Dateien zu manipulieren, und um einen Cross-Site Scripting Angriff durchzuführen.
[NEU] [hoch] JetBrains IntelliJ IDEA: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in JetBrains IntelliJ IDEA ausnutzen, um beliebigen Programmcode auszuführen und um Informationen offenzulegen.
[NEU] [mittel] Samsung Exynos: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Samsung Exynos ausnutzen, um einen Denial of Service Angriff durchzuführen, um Informationen offenzulegen, und um Sicherheitsvorkehrungen zu umgehen.
[NEU] [mittel] Fujitsu ServerView: Mehrere Schwachstellen ermöglichen Privilegieneskalation
Ein lokaler Angreifer kann mehrere Schwachstellen in Fujitsu ServerView ausnutzen, um seine Privilegien zu erhöhen.
[NEU] [hoch] OTRS: Mehrere Schwachstellen
Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OTRS ausnutzen, um einen Denial of Service zu verursachen, um eine SQL Injection durchzuführen, um Informationen offenzulegen und um einen XSS Angriff durchzuführen.
[NEU] [mittel] Check Point Security Gateway: Schwachstelle ermöglicht Denial of Service
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Check Point Security Gateway ausnutzen, um einen Denial of Service Angriff durchzuführen.
[NEU] [mittel] UV: Schwachstelle ermöglicht Manipulation von Dateien und potenziell Codeausführung
Ein Angreifer kann eine Schwachstelle in UV ausnutzen, um Dateien zu manipulieren, und potenziell um beliebigen Programmcode auszuführen.
[NEU] [hoch] OpenClaw: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in OpenClaw ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
[NEU] [mittel] JetBrains PyCharm: Schwachstelle ermöglicht Cross-Site Scripting
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in JetBrains PyCharm ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen.
0
Anzahl der Feeds in »IT-Security«
Newsfeed bereitgestellt golem.de: https://www.golem.de
Button-Hijacking: Google unterbindet Missbrauch des Zurück-Buttons im Browser
Webseitenbetreiber, die den Browserverlauf ihrer Besucher manipulieren, müssen zukünftig mit einer Herabstufung durch Google rechnen. (Webseiten, Google)
Nutzerdaten gefährdet: Über 100 Chrome-Extensions beim Datenklau erwischt
Forscher haben zahlreiche Chrome-Erweiterungen entdeckt, die ihre Nutzer ausspionieren. Sie sind noch immer im Chrome Web Store verfügbar. (Chrome Web Store, Browser)
CCPA-Prüfung: Google, Microsoft und Meta ignorieren Opt-out-Signale
Ein unabhängiger Audit in Kalifornien zeigt: Microsoft, Meta und Google setzen trotz Browserverbot weiterhin Werbecookies. (Tracking, Google)
Kein Klick erforderlich: Wurmartige Schadcode-Attacken auf Windows möglich
Der April-Patchday liefert viele gute Gründe, Windows-Systeme zu aktualisieren. Teilweise reichen spezielle Netzwerkpakete, um Schadcode einzuschleusen. (Patchday, Microsoft)
Illegale Nutzung per Jailbreak: Tesla sperrt FSD in über 100.000 gehackten Autos
Zahlreiche Tesla-Fahrer aus mehreren Ländern haben per Jailbreak unrechtmäßig das Full Self-Driving aktiviert. Jetzt greift der Hersteller durch. (Jailbreak, Elektroauto)
Bürgerrechtsorganisationen: Meta soll auf Gesichtserkennung bei Smart Glasses verzichten
Bürgerrechtsorganisationen warnen: Die Gesichtserkennung bei Metas Smart Glasses sei eine Gefahr für die Privatsphäre – vor allem für bestimmte Gruppen. (Gesichtserkennung, Datenschutz)
Große Gym-Kette: Cyberangriff auf Basic-Fit betrifft eine Million Mitglieder
Ein unbekannter Angreifer ist in die IT von Basic-Fit eingedrungen und hat zahlreiche persönliche Daten von Mitgliedern aus ganz Europa abgerufen. (Datenleck, Datenschutz)
Digitale Brieftasche: Großteil der Bevölkerung kennt EUDI-Wallet nicht
Der Branchenverband Bitkom fordert eine Aufklärungskampagne, damit die digitale Brieftasche der EU bei der Einführung breit angewendet wird. (Security, Datenschutz)
(g+) Doppel-Zero-Day bei Forticlient EMS: Eine offene Tür ins Unternehmensnetz
Zwei unauthentifizierte Lücken in sechs Wochen, rund 2.000 exponierte Instanzen: Wie Admins Forticlients Management Server jetzt schützen. Eine Analyse von Steffen Zahn (Security, Server)
Datenpanne: Angreifer missbrauchen frische Buchungsdaten von Booking.com
Einige Booking.com-Nutzer sind unmittelbar nach einer Buchung von Angreifern kontaktiert und zu einer Zahlung aufgefordert worden. Der Anbieter warnt. (Datenleck, E-Mail)
Zombie-Horror aus Südkorea: Der neue Film vom Train-to-Busan-Regisseur
Yeon Sang-ho kehrt mit Colony zum Zombie-Genre zurück. Der Film läuft erstmals bei den Midnight Screenings in Cannes. (Zombie, Virus)
Dringend updaten: Adobe patcht seit Monaten ausgenutzte Reader-Lücke
Wer Adobe Acrobat oder den Acrobat Reader nutzt, sollte das PDF-Tool zügig updaten. Nutzer werden seit Ende 2025 über eine Zero-Day-Lücke attackiert. (Sicherheitslücke, PDF)
Vorwürfe gegen Microsofts Jobnetzwerk: Linkedin soll Nutzer systematisch ausspionieren
Deutsche Aktivisten werfen Linkedin vor, Anwender durch geheimen Javascript-Code auszuspionieren. Das Karrierenetzwerk widerspricht. Ein Bericht von Erik Bärwaldt (Datenschutz, Microsoft)
Mikrofon nicht nötig: Neue Spionagetechnik missbraucht Glasfaserkabel als Wanze
Forscher haben herausgefunden, dass sich über Glasfaserleitungen unbemerkt Gespräche mithören lassen – mit Vorteilen gegenüber der klassischen Wanze. (Spionage, Glasfaser)
BSI ist besorgt: Anthropics neues KI-Modell könnte Cyberlandschaft "umwälzen"
Anthropic will mit Mythos Tausende teils kritische Software-Lücken entdeckt haben. Das BSI erwartet erhebliche Folgen für den Cybersektor. (KI, Sicherheitslücke)
(g+) Windows: So werden die Zertifikate für Secure Boot getauscht
Die Secure-Boot-Zertifikate laufen bald aus – doch es gibt einen Austauschprozess. Wir beschreiben ihn Schritt für Schritt für Admins. Eine Anleitung von Holger Voges (Windows, Virtualisierung)
PDF öffnen reicht: Ungepatchte Lücke in Adobe Reader seit Monaten ausgenutzt
Angreifer nutzen seit Ende 2025 eine Zero-Day-Lücke in Adobe Reader aus, um Daten abzugreifen und Schadcode einzuschleusen. Ein Forscher schlägt Alarm. (Sicherheitslücke, Virus)
Verheerende Angriffswelle: Hacker kapern Onlineshops und schleusen Schadcode ein
Angreifer haben mit einer Sicherheitslücke unzählige Onlineshops kompromittiert. Teilweise schleusen sie Web-Skimmer ein und greifen Kreditkartendaten ab. (Cybercrime, Onlineshop)
Nicht nur Veracrypt: Auch VPN-Entwickler von Microsoft ausgesperrt
Die Entwickler von Veracrypt, Wireguard und Windscribe können wegen gesperrter Microsoft-Accounts keine Updates bereitstellen. Microsoft reagiert. (Microsoft, Treiber)
(g+) Windows: Der Update-Guide für Secure Boot
Die Secure-Boot-Zertifikate laufen bald aus und müssen getauscht werden. Unser Leitfaden zeigt, welche To-dos auf Admins zukommen. Eine Anleitung von Holger Voges (Windows, Verschlüsselung)