Wissen
- Home /
- Wissen
Kritische SicherheitslĂĽcke in GitHub: CodeausfĂĽhrung per git push (CVE-2026-3854)
Wiz Research hat Ende März eine schwerwiegende Schwachstelle in der internen Git-Infrastruktur von GitHub entdeckt und verantwortungsvoll gemeldet. Die Lücke erlaubte es jedem angemeldeten Nutzer, mit einem einzigen git push-Befehl beliebigen Code auf GitHubs Backend-Servern auszuführen – ohne spezielle Werkzeuge, nur mit einem normalen Git-Client.
Read MoreBGH: Privatadresse und Unterschrift dürfen aus dem Handelsregister gelöscht werden
Der Bundesgerichtshof hat am 18. Februar 2026 ein datenschutzrechtlich bedeutsames Urteil gesprochen (Az. II ZB 2/25): Wer als Geschäftsführer Dokumente beim Handelsregister eingereicht hat, die mehr personenbezogene Daten enthalten als gesetzlich vorgeschrieben – etwa die private Wohnanschrift oder eine handschriftliche Unterschrift –, kann deren Austausch gegen bereinigte Fassungen verlangen. Der BGH stützt sich dabei auf das Recht auf Löschung nach Art. 17 DSGVO.
Read MoreChatkontrolle: Rechtslage unklar, Tech-Konzerne scannen weiter
Seit dem Wochenende ist die EU-Übergangsregelung ausgelaufen, die Unternehmen wie Google, Meta und Microsoft erlaubte, private Nachrichten anlasslos nach Darstellungen sexualisierter Gewalt gegen Kinder (CSAM) zu durchsuchen. Eine Verlängerung scheiterte im Europaparlament. Ohne diese Ausnahmeregelung verstoßen automatisierte Massenscans nach Einschätzung von Experten und der EU-Kommission selbst gegen die geltende E-Privacy-Richtlinie.
Read MoreGoogle warnt: KI macht Cyberangriffe schneller, gezielter und schwerer erkennbar
Google Cloud hat seinen Cybersecurity Forecast 2026 veröffentlicht – eine nüchterne Bestandsaufnahme der Bedrohungslage, die auf echten Vorfallsdaten und Geheimdiensterkenntnissen basiert. Die Kernaussage: KI ist längst kein Zukunftsthema mehr, sondern wird von Angreifern heute aktiv eingesetzt – für überzeugendere Phishing-Mails, täuschend echte Telefonanrufe (Vishing) mit geklonten Stimmen und automatisierte Angriffskampagnen im grossen Massstab.
Read MoreKritische Schwachstellen in NetScaler ADC und Gateway – sofortiges Update erforderlich
Citrix hat am 23. März 2026 ein Sicherheitsbulletin zu zwei Schwachstellen in NetScaler ADC und NetScaler Gateway veröffentlicht. Beide betreffen ausschliesslich selbst betriebene Installationen – wer die Cloud-verwalteten Dienste von Citrix nutzt, ist nicht betroffen.
Read MoreCyberangriff auf Europa.eu – Kommission bestätigt Datendiebstahl
Am 24. März 2026 entdeckte die Europäische Kommission einen Angriff auf die Cloud-Infrastruktur, auf der die öffentlichen Websites unter europa.eu betrieben werden. Drei Tage später, am 27. März, informierte sie die Öffentlichkeit. Erste Untersuchungsergebnisse bestätigen, dass Daten von diesen Webseiten gestohlen wurden. Die internen Systeme der Kommission seien laut eigenen Angaben nicht betroffen gewesen, und die Verfügbarkeit der Websites wurde nicht unterbrochen. Betroffene EU-Einrichtungen werden derzeit direkt benachrichtigt.
Read MoreBundesrat zur KI-Verordnung: Vereinfachung ja, aber nicht auf Kosten des Schutzes
Der Bundesrat hat am 27. März 2026 Stellung zur geplanten EU-Digital-Omnibus-Verordnung genommen, die die bestehende KI-Verordnung vereinfachen soll. Die Kernbotschaft: Bürokratieabbau ist richtig und wichtig, darf aber nicht den Grundrechtsschutz aushöhlen.
Read MoreLinkedIn-Verifizierung: Was du wirklich preisgibst
Wer auf LinkedIn den blauen Haken für verifizierte Identität will, landet unweigerlich bei einem Unternehmen namens Persona Identities, Inc. – einem US-amerikanischen Dienstleister aus San Francisco, den die meisten Nutzer noch nie gehört haben. Ein Blogger hat sich die Mühe gemacht, die 34 Seiten Datenschutzrichtlinien und Nutzungsbedingungen tatsächlich zu lesen – und was er herausfand, ist ernüchternd.
Read MoreAxios npm-Paket kompromittiert – Angreifer schleusen Trojaner ein
Am 31. März 2026 wurden zwei Versionen des weit verbreiteten JavaScript-HTTP-Clients Axios (1.14.1 und 0.30.4) mit Schadsoftware verseucht. Ein Angreifer hatte sich Zugang zum npm-Konto des Hauptentwicklers verschafft und darüber gefälschte Paketversionen veröffentlicht, die eine bösartige Abhängigkeit namens „plain-crypto-js" einschleussen. Dieses Paket lädt beim Installieren automatisch einen Fernzugriffs-Trojaner (RAT) auf macOS, Windows und Linux herunter – ohne dass eine einzige Zeile im eigentlichen Axios-Code verändert wurde. Die Spuren wurden anschliessend gezielt verwischt. Mit über 83 Millionen wöchentlichen Downloads ist Axios eines der meistgenutzten Pakete im JavaScript-Ökosystem.
Read MoreBuffer-Overflow in Ruby-Gem Zlib – Update erforderlich
In der Ruby-Standardbibliothek wurde eine Sicherheitslücke (CVE-2026-27820) im Zlib-Gem entdeckt, konkret in der Klasse Zlib::GzipReader. Ein Buffer Overflow in der internen Funktion zstream_buffer_ungets kann zu Speicherkorruption führen: Die Funktion verschiebt vorhandene Ausgabedaten im Speicher, ohne vorher sicherzustellen, dass der zugrundeliegende Ruby-String ausreichend Kapazität hat. Das Ergebnis ist ein klassischer Heap-basierter Pufferüberlauf – ein Fehlertyp, der in der Vergangenheit häufig zur Codeausführung missbraucht wurde, auch wenn ein konkreter Exploit bisher nicht öffentlich bekannt ist.
Read MoreCategories
Tags
- .Burkina Faso
- Active Directory
- AI
- Anleitungen
- Apache HTTP Server
- Bafin
- Bfdi
- Browser-Sicherheit
- Browser-Update
- BSI
- CERT-Bund
- Chrome
- CISA
- Compliance
- Container
- Container Security
- Container-Sicherheit
- Cosign
- CVE
- CVE-2026
- Cyberangriff
- Cybersecurity
- Dateimanipulation
- Datenbankensicherheit
- Datenpanne
- Datenschutz
- DDoS
- Denial of Service
- Deutschland
- DFN-CERT
- DIN ISO 37002
- EASM
- Eu
- Fatf
- Firewall
- Forensik
- Fortinet
- Foxit
- Geldwäsche
- Geldwäscheschutz
- Germany
- Gesetze
- Gesundheitswesen
- Go-Schwachstellen
- Graue Liste
- Graylist
- Hacking
- Helm
- Hinweisgeberschutz
- Incident Response
- ISMS
- ISO 27001
- ISO Norm
- IT Security
- IT-Sicherheit
- Java
- KI
- Konfigurationsmanagement
- Kubernetes
- LDAP
- Libaom
- Linux
- Linux-Sicherheit
- Log4cxx
- Log4j
- Malware Protection Engine
- Messenger
- Microsoft Edge
- Microsoft Windows
- Mittleres Risiko
- Money Laundry
- Mosambik
- Netty
- Netzwerksicherheit
- NGINX
- NIS 2
- NIST CSF
- OpenSSL
- Palo Alto
- PAN-OS
- Patch-Management
- Pentest
- PostgreSQL
- Privilegieeskalation
- Privilegieneskalation
- Python
- Remote Access
- Remote Code Execution
- Remote-CodeausfĂĽhrung
- Salt
- Salt Bundle
- Schulung
- Schwachstelle
- Schwachstellen
- Schwachstellenmanagement
- Server
- Server-Sicherheit
- Serversicherheit
- Sicherheitsadvisory
- SicherheitslĂĽcke
- Sicherheitspatch
- Sicherheitsupdate
- SIEM
- SLES 15
- SOC2
- Social Media
- SSSD
- SUSE
- SUSE Linux
- SUSE Manager
- SĂĽdafrika
- Ubuntu
- Updates
- VerfĂĽgbarkeit
- VerschlĂĽsselung
- Vulnerabilities
- Web-Sicherheit
- Webmail
- Webserver
- Webserver-Sicherheit
- Windows
- Windows Defender
- Windows Security
- Windows Server
- Windows Update
- X.Org
- XSS
- Xwayland