[NEU] [niedrig] Django: Mehrere Schwachstellen ermöglichen Offenlegung von Informationen
Ein entfernter Angreifer kann mehrere Schwachstellen in Django ausnutzen, um Informationen offenzulegen.
0
Anzahl der Newsfeeds
Newsfeed bereitgestellt von BUND/Cert: https://wid.cert-bund.de
[NEU] [hoch] Cisco Unified Communications Manager (CUCM): Schwachstelle ermöglicht Manipulation von Dateien
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Cisco Unified Communications Manager (CUCM) ausnutzen, um Dateien zu manipulieren und dadurch potenziell root Rechte zu erlangen.
[NEU] [mittel] Cisco WebEx Meetings: Schwachstelle ermöglicht Cross-Site Scripting
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Cisco WebEx Meetings ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen.
[NEU] [mittel] Drupal Erweiterungen: Mehrere Schwachstellen
Ein entfernter Angreifer kann mehrere Schwachstellen in verschiedenen Drupal Erweiterungen ausnutzen, um Daten zu manipulieren oder offenzulegen, sowie um Cross-Site Scripting Angriffe durchzuführen.
[NEU] [mittel] CPython: Schwachstelle ermöglicht Manipulation von Dateien
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in CPython ausnutzen, um Dateien zu manipulieren.
[NEU] [hoch] FRRouting: Schwachstelle ermöglicht Denial of Service
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in FRRouting ausnutzen, um einen Denial of Service Angriff durchzuführen.
[NEU] [hoch] Microsoft Clouddienste: Mehrere Schwachstellen ermöglichen Privilegieneskalation
Ein Angreifer kann mehrere Schwachstellen in verschiedenen Microsoft Clouddiensten wie Azure HorizonDB, Exchange Online, 365 Copilot und dem Copilot Chat in Edge ausnutzen, um seine Privilegien zu erweitern, um beliebigen Code auszuführen und um Informationen offenzulegen.
[NEU] [niedrig] PHP: Mehrere Schwachstellen ermöglichen nicht spezifizierten Angriff
Ein lokaler Angreifer kann mehrere Schwachstellen in PHP und ZendPHP ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen.
[NEU] [hoch] HTTP/2-Implementierungen: Schwachstelle ermöglicht Denial of Service
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in verschiedenen HTTP/2-Implementierungen ausnutzen, um einen Denial of Service Angriff durchzuführen.
[NEU] [mittel] Cisco Finesse: Schwachstelle ermöglicht Manipulation von Dateien und potenziell Codeausführung
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Cisco Finesse ausnutzen, um Dateien zu manipulieren und potenziell um beliebigen Programmcode auszuführen.
[NEU] [mittel] SolarWinds Serv-U: Schwachstelle ermöglicht Denial of Service
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in SolarWinds Serv-U ausnutzen, um einen Denial of Service Angriff durchzuführen.
[NEU] [UNGEPATCHT] [hoch] Cisco Catalyst SD-WAN Manager: Schwachstelle ermöglicht Privilegieneskalation
Ein lokaler Angreifer kann eine Schwachstelle in Cisco Catalyst SD-WAN Manager ausnutzen, um seine Privilegien zu erhöhen.
[NEU] [niedrig] Keycloak: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen und Offenlegung von Informationen
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Keycloak ausnutzen, um Sicherheitsvorkehrungen zu umgehen, und um Informationen offenzulegen.
[UPDATE] [hoch] IBM WebSphere Application Server: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in IBM WebSphere Application Server ausnutzen, um Sicherheitsvorkehrungen zu umgehen und Code auszuführen.
[UPDATE] [hoch] Froxlor: Mehrere Schwachstellen
Ein Angreifer kann mehrere Schwachstellen in Froxlor ausnutzen, um seine Privilegien zu erhöhen, um Informationen offenzulegen, um Dateien zu manipulieren, und um Sicherheitsvorkehrungen zu umgehen.
[UPDATE] [mittel] FRRouting Project FRRouting: Schwachstelle ermöglicht Denial of Service
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in FRRouting Project FRRouting ausnutzen, um einen Denial of Service Angriff durchzuführen.
[UPDATE] [mittel] FRRouting Project FRRouting: Schwachstellen ermöglichen Denial of Service
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in FRRouting Project FRRouting ausnutzen, um einen Denial of Service Angriff durchzuführen.
[UPDATE] [hoch] Arista EOS: Mehrere Schwachstellen ermöglichen Codeausführung
Ein entfernter authentifizierter Angreifer kann mehrere Schwachstellen in Arista EOS ausnutzen, um beliebigen Code auszuführen.
[UPDATE] [mittel] Intel Firmware: Schwachstelle ermöglicht Denial of Service
Ein lokaler Angreifer kann eine Schwachstelle in Intel Firmware ausnutzen, um einen Denial of Service Angriff durchzuführen.
[UPDATE] [mittel] Arista EOS: Mehrere Schwachstellen ermöglichen Umgehen von Sicherheitsvorkehrungen
Ein entfernter, anonymer Angreifer oder ein Angreifer aus dem angrenzenden Netzwerk kann mehrere Schwachstellen in Arista EOS ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
0
Anzahl der Feeds in »IT-Security«
Newsfeed bereitgestellt golem.de: https://www.golem.de
Security: Der gefährliche Komfort von Vibe-Coding
Vibe-Coding macht Apps schnell verfügbar. Doch ohne Prüfung werden Prototypen zur Sicherheitslücke. Ein Bericht von Oliver Jessner (Security, KI)
Nutzer identifiziert: Behörden zerschlagen für Cybercrime genutzten VPN-Dienst
First VPN ist bei Cyberkriminellen wohl ziemlich beliebt gewesen. Doch das ist jetzt vorbei: Strafverfolger gelangten an Server und Nutzerdaten. (Cybercrime, Server)
Cyberangriff: Hacker erbeuten Daten von Patienten mehrerer Unikliniken
Ein Dienstleister von Unikliniken aus ganz Deutschland ist Ziel eines Cyberangriffs geworden. Daten Zehntausender Patienten sind abgeflossen. (Cybercrime, Datenschutz)
Trump Mobile: Datenleck legt Kundendaten und Bestellzahlen offen
Eine Schwachstelle bei Trump Mobile macht Kundendaten frei zugänglich. Interne Daten zeigen zudem weitaus geringere Verkaufszahlen. (Datenleck, Sicherheitslücke)
Auch Führungskräfte unzufrieden: KI-Code führt vermehrt zu Produktionsausfällen
Die Geschwindigkeit der Erzeugung von KI-Code hat die Kapazitäten der Qualitätssicherung überholt. (KI, Studien)
Golem Karrierewelt: Heute im Podcast: Microsoft Copilot – erst planen, dann aktivieren
Microsoft Copilot kann Arbeit beschleunigen, Wissen sichtbar machen und Routinen vereinfachen. Ohne Planung verstärkt die KI aber bestehende Schwächen bei Daten, Berechtigungen und Governance. (Golem Karrierewelt, Betriebssysteme)
Microsoft warnt: Hacker attackieren Windows-Nutzer über Lücken im Defender
Angreifer können über den Microsoft Defender unter anderem Schadcode einschleusen und sich Systemrechte verschaffen. Erste Attacken laufen bereits. (Sicherheitslücke, Microsoft)
Manueller Eingriff nötig: Microsoft reagiert auf Yellowkey-Exploit für Bitlocker
Seit Tagen kursiert im Netz ein Zero-Day-Exploit zur Umgehung der Bitlocker-Verschlüsselung. Admins müssen sich vorerst selbst um den Schutz kümmern. (Sicherheitslücke, Verschlüsselung)
Millionen Nutzer gefährdet: Google leakt Exploit für ungepatchte Chromium-Lücke
Eine gefährliche und schon Ende 2022 gemeldete Chromium-Lücke ist noch immer ungepatcht. Jetzt kursiert ein Exploit im Netz – wegen einer Panne bei Google. (Sicherheitslücke, Google)
EUDI-Wallet: Regierung bringt Gesetz für digitale Brieftasche auf den Weg
Anfang 2027 soll der Personalausweis aufs Handy kommen. Das ermöglicht ein neues Sicherheitsniveau auf mobilen Endgeräten. (Bundesregierung, Datenschutz)
Digitale Souveränität: Thales und Google Cloud kündigen von USA unabhängige Cloud an
Thales und Google Cloud wollen mit einer neuen Plattform deutsche Daten vor Zugriffen aus den USA schützen. (Cloud-Dienste, Google)
Datenklau: Hacker wollen 4.000 private Github-Repos geplündert haben
Die Cybergang TeamPCP setzt Github unter Druck. Sie will an Daten aus Tausenden privaten Code-Repos gelangt sein und stellt diese nun zum Verkauf. (Cybercrime, Cyberwar)
Bitkom-Umfrage: Mehr Menschen zahlen für KI-Anwendungen
Der Anteil der zahlenden KI-Nutzer steigt laut Bitkom auf 13 Prozent. Die monatlichen Ausgaben erhöhen sich im Schnitt auf 20 Euro. (KI, Studien)
(g+) Zero Trust: Abschied vom klassischen Perimeter
Homeoffice, Cloud und mobile Geräte sprengen alte Security-Konzepte – Zero Trust verspricht maximale Sicherheit für die geänderten Rahmenbedingungen. Ein Ratgebertext von Klaus Manhart (Sicherheit im Wandel, Identitätsmanagement)
Mini-Shai-Hulud: Erneut millionenfach genutzte NPM-Pakete kompromittiert
Der Shai-Hulud-Angriff geht in die nächste Runde. Wieder wurde Malware in Hunderte NPM-Pakete eingeschleust. Entwickler sollten handeln. (Malware, Virus)
Hacker können Konten kapern: Lücke im Microsoft Authenticator ermöglicht Datenklau
Angreifer können beim Microsoft Authenticator Zugriffstokens abgreifen und damit auf Daten und Dienste der Nutzer zugreifen. Ein Patch ist verfügbar. (Sicherheitslücke, Microsoft)
Sicherheitslücke wird ausgenutzt: Hacker greifen Nginx-Webserver an
Angreifer machen Nginx-Webserver mit einem öffentlich verfügbaren Exploit unerreichbar. Auch eine Schadcodeausführung ist manchmal möglich. (Sicherheitslücke, Server-Applikationen)
Pwn2Own Berlin: Hacker hacken Windows, Linux, Edge und jede Menge KI-Tools
Bei der Pwn2Own in Berlin sind vor allem Betriebssysteme und KI-Tools attackiert worden. Die Teilnehmer gewannen fast 1,3 Millionen US-Dollar. (Sicherheitslücke, KI)
(g+) Trivy Supply-Chain-Angriff: Wenn der Security-Scanner selbst zum Angriff wird
Trivys Github Actions wurden zweimal gehackt. Ein Credential-Stealer lief in Tausenden CI/CD-Pipelines unbemerkt. Eine Analyse von Steffen Zahn (Security, Sicherheitslücke)
Golem Karrierewelt: Podcast: Microsoft Copilot – erst planen, dann aktivieren
Microsoft Copilot kann Arbeit beschleunigen, Wissen sichtbar machen und Routinen vereinfachen. Ohne Planung verstärkt die KI aber bestehende Schwächen bei Daten, Berechtigungen und Governance. (Golem Karrierewelt, Betriebssysteme)