NetMotion Internet-Services
Newsfeed bereitgestellt von BUND/Cert: https://wid.cert-bund.de
Ein lokaler Angreifer kann mehrere Schwachstellen in ImageMagick ausnutzen, um einen Denial of Service Angriff durchzuführen oder vertrauliche Informationen offenzulegen.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in libsndfile ausnutzen, um beliebigen Programmcode auszuführen oder einen Denial-of-Service-Zustand zu verursachen.
Ein Angreifer aus einem angrenzenden Netzwerk kann eine Schwachstelle in der cloud-init Komponente von Red Hat Enterprise Linux ausnutzen, um Administratorrechte zu erlangen.
Ein Angreifer kann mehrere Schwachstellen in Joplin ausnutzen, um einen Denial of Service Angriff durchzuführen, vertrauliche Informationen offenzulegen oder beliebige Dateien zu überschreiben, was möglicherweise zur Ausführung von beliebigem Code führt.
Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in BigBlueButton ausnutzen, um Sicherheitsvorkehrungen zu umgehen und vertrauliche Informationen offenzulegen.
Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Argo CD ausnutzen, um Informationen offenzulegen oder Cross-Site-Scripting-Angriffe durchzuführen, wodurch potenziell Administratorrechte erlangt werden können.
Ein Angreifer kann mehrere Schwachstellen in Mattermost Desktop ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in IBM SPSS Modeler ausnutzen, um einen Denial of Service Angriff durchzuführen.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in MongoDB ausnutzen, um einen Denial of Service Angriff durchzuführen.
Ein Angreifer kann mehrere Schwachstellen in Webmin ausnutzen, um Sicherheitsvorkehrungen zu umgehen, und um beliebigen Programmcode mit Administratorrechten auszuführen.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in libpng ausnutzen, um einen Denial of Service Angriff durchzuführen.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in CKAN ausnutzen, um SQL-Injection-Angriffe durchzuführen, Sicherheitsmaßnahmen zu umgehen, Daten zu manipulieren oder vertrauliche Informationen offenzulegen.
Ein lokaler Angreifer kann eine Schwachstelle in IBM MQ ausnutzen, um Informationen offenzulegen.
Ein Angreifer kann mehrere Schwachstellen in Microsoft Edge ausnutzen, um Sicherheitsvorkehrungen zu umgehen, um falsche Informationen darzustellen, und um beliebigen Programmcode auszuführen.
Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Budibase ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen, Code auszuführen oder seine Rechte zu erweitern.
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Budibase ausnutzen, um Informationen offenzulegen.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Linux Kernel ausnutzen, um einen Denial of Service Angriff durchzuführen oder potenziell um Informationen offenzulegen.
Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Flowise ausnutzen, um Code auszuführen, Objekte anderer Benutzer zu übernehmen, Informationen offenzulegen und weitere, nicht näher genannte Auswirkungen zu erzielen.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Fleet ausnutzen, um Sicherheitsmaßnahmen zu umgehen, Daten zu manipulieren oder offenzulegen oder einen Denial-of-Service-Zustand herbeizuführen.
Ein Angreifer kann mehrere Schwachstellen in Shibboleth Identity Provider ausnutzen, um eine SMTP-Injektion durchzuführen oder einen Denial-of-Service-Zustand zu verursachen.
Newsfeed bereitgestellt golem.de: https://www.golem.de
Microsoft 365 Copilot konnte offenbar bei einigen Nutzern E-Mails zusammenfassen, die das KI-Tool gar nicht hätte lesen dürfen. (Copilot, Microsoft)
NIS 2, DORA, AI Act und Cyber Resilience Act erhöhen den Druck auf IT-Governance, Nachweisführung und Notfallplanung. Ein kompakter Workshop ordnet zentrale Anforderungen ein. (Golem Karrierewelt, Server-Applikationen)
Einen Tag lang ist es Hackern gelungen, den DB Navigator und bahn.de lahmzulegen. Die geschäftskritischen Systeme liegen bei Amazon Web Services. (Deutsche Bahn, Web Service)
Der Stromkonzern Eon fordert den Einbau intelligenter Strommesser in allen Haushalten. Doch die Branche weist den Vorstoß zurück. (Smart Meter, GreenIT)
Russische Hacker sollen hinter einem massiven DDoS-Angriff auf die Deutsche Bahn stecken. Der DB Navigator und bahn.de waren lange nicht erreichbar. (Deutsche Bahn, Server)
Administratoren sollten zügig das Windows Admin Center patchen. Denn Angreifer können eine Sicherheitslücke in der Authentifizierung ausnutzen. (Sicherheitslücke, Microsoft)
Ohne gründliche Dokumentation sind Anthropics Berichte über „KI-Hacker“ unglaubwürdig. Das heißt nicht, dass LLMs kein Risiko darstellen. Eine Analyse von Tim Reinboth (Security, KI)
Ein Software-Tester entlarvt systematisches Lügen bei Google Gemini. Die KI gab an, sensible Medizindaten zu sichern – lediglich als „Placebo“. (Gemini, KI)
Dell hat in einem Back-up-Tool für virtuelle Maschinen Admin-Zugangsdaten zurückgelassen. Angreifer missbrauchen diese schon seit Mitte 2024. (Sicherheitslücke, Dell)
Für manche führt MCP in eine agentenbasierte Zukunft, andere finden es dämlich. Klar ist: Leute nutzen es. Sie sollten auf jeden Fall vorsichtig sein. Eine Analyse von Tim Reinboth (LLM, KI)
Nach Ubuntu Touch und Volla OS kann nun auch das Android-ROM /e/OS ohne Google-Dienste auf dem Volla-Tablet installiert werden. (Android, Datenschutz)
Aktiv ausgenutzte Schwachstellen: Die Cisa listet Solarwinds Web Help Desk, Notepad++ WinGUp und Apple dyld Zero Day. Was Admins jetzt konkret tun sollten. Ein Ratgebertext von Steffen Zahn (Sicherheitslücke, Apple)
Passwortmanager wie Bitwarden, Lastpass und Dashlane versprechen, nicht einmal selbst an die Nutzer-Passwörter zu kommen. Forschern ist es dennoch gelungen. (Sicherheitslücke, Verschlüsselung)
Ein Polizist vertauscht Upload- mit Download-Link und gewährt einem Hinweisgeber damit vertrauliche Einblicke. Es folgt ein unangenehmer Besuch. (Datenleck, Datenschutz)
Bei Eurail, Interrail und DiscoverEU sind Daten von Bahnreisenden abgeflossen. Diese werden jetzt über Telegram und das Darknet verbreitet. (Datenleck, Datenschutz)
Microsoft 365 Copilot erfordert eine saubere Administration von Tenant, Identitäten, Datenhaltung und Compliance. Ein Live-Remote-Workshop bündelt Set-up, Governance und Auswertung in einem kompakten Format. (Golem Karrierewelt, Server-Applikationen)
Eine gefährliche Sicherheitslücke lässt Angreifer Schadcode in Chrome einschleusen. Es reicht der Besuch einer speziell gestalteten Webseite. (Sicherheitslücke, Google)
Die massenhafte Ausstattung von Zugbegleitern mit Bodycams soll nicht zu einer zusätzlichen Videoüberwachung der Bürger führen. (Datenschutz, Deutsche Bahn)
Der von vielen IT-Admins genutzte Microsoft Configuration Manager steht unter Beschuss. Auf ungepatchten Systemen lässt sich Schadcode einschleusen. (Sicherheitslücke, Microsoft)
OpenAI hat bei der Umstrukturierung in ein gewinnorientiertes Unternehmen die Sicherheitsformulierung aus seinem Leitbild entfernt. (OpenAI, KI)