Wissen

Journalisten im Visier: Graphite-Spyware nutzt Zero Click iMessage Schwachstelle

Erstmals konnte das Überwachungs-Tool Graphite des israelischen Herstellers Paragon Solutions forensisch auf iPhones nachgewiesen werden. Zwei Journalisten – darunter der Italiener Ciro Pellegrino und ein anonymer europäischer Kollege – wurden Ziel einer raffinierten Zero-Click-Attacke über iMessage. Die Angriffe erfolgten im Januar und Februar 2025 und wurden durch Apple-Sicherheitswarnungen am 29. April 2025 publik.

Read More

Serviettenfirma nach Hackerangriff insolvent

Ein schwerwiegender Hackerangriff hat die Traditionsfirma Fasana aus Euskirchen in eine existenzielle Krise gestürzt. Fasana stellt seit mehr als 100 Jahren Servietten her. Nach der Cyberattacke vom 19. Mai 2025, bei der unter anderem Erpresserbriefe über Drucker ausgegeben wurden und sämtliche IT-Systeme lahmgelegt wurden, musste das Unternehmen nun Insolvenz anmelden. Rund 240 Mitarbeitende sind betroffen.

Read More

Kritische WebDAV Schwachstelle bedroht Windows Systeme

Anfang Juni 2025 veröffentlichte Checkpoint Security einen Exploit der WebDAV Schnittstelle, der zur Remote Code Execution genutzt werden kann. Im Kern beruht die Schwachstelle CVE-2025-33053 auf einer Lücke in der Art und Weise, wie Windows über eine WebDAV-URL den Arbeits­verzeichnis­pfad für einen Aufruf eines legitimen Diagnostics-Tools (iediagcmd.exe) manipulieren lässt. Stealth Falcon nutzt diese Schwachstelle in drei Schritten aus:

Read More

SMB: Kerberos Reflective Relay Angriff führt zu Privilege Esacalation in Windows Netzwerken

Hohe Gefahr durch Windows SMB – CVE-2025-33073 ermöglicht Privilegienerweiterung über das Netzwerk, mit Hilfe der Reflective Kerberos Relay Angriffstechnik. Ein autorisierter Angreifer kann aufgrund unzureichender Zugriffskontrolle in SMB seine Rechte ausweiten. Die NVD klassifiziert die Schwachstelle mit CVSS 3.1 Score 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) als High Severity (nvd.nist.gov). Microsoft veröffentlichte die Behebung im Juni-Patchday am 10. Juni 2025.

Read More

BfDI verhängt 45 Mio. € an DSGVO Bußgeldern gegen Vodafone

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, hat Vodafone GmbH zweimal mit Bußgeldern in Höhe von insgesamt 45 Millionen Euro belegt. Ein erstes Bußgeld von 15 Mio. € folgte, weil Vodafone nach Artikel 28 (1) Satz 1 DSGVO die Partneragenturen, die im Namen des Konzerns Kundenverträge vermittelten, nicht ausreichend geprüft und überwacht hatte. Zudem erhielt Vodafone eine Verwarnung wegen Mängeln in den Vertriebs­systemen nach Artikel 32 (1) DSGVO.

Read More

Kritische Sicherheitslücke im Dell NAS System PowerScale

Dell hat am 4. Juni 2025 die Sicherheitsempfehlung DSA-2025-208 für PowerScale OneFS veröffentlicht, mit der mehrere teils kritische Schwachstellen gestopft werden. Besonders gravierend ist eine fehlende Authorisierung in der NFS-Exportfunktion (CVE-2024-53298, CVSS 9.8), über die sich ein Angreifer unbemerkt Zugriff auf beliebige Dateien verschaffen und das System komplett kompromittieren kann. Darüber hinaus wurden eine SQL-Injection in OneFS (CVE-2025-32753, CVSS 5.3) sowie weitere Lücken in FreeBSD-Komponenten (CVE-2024-53580) und im SupportAssist (CVE-2024-39689, CVE-2024-51538) behoben.

Read More

AWS gründet EU-basierte Cloud-Einheit

Amazon Web Services (AWS) will noch bis Ende 2025 eine eigenständige, in Europa ansässige Organisation für seine „AWS European Sovereign Cloud“ (ESC) aufbauen. Die ESC umfasst eine europäische Muttergesellschaft und drei in Deutschland gegründete Tochterfirmen, die Infrastruktur, DNS (Route 53 mit ausschließlich europäischen Top-Level-Domains) und ein eigenes Root-Zertifizierungszentrum kontrollieren.

Read More

Kleinanzeigen: Follower werden künftig für Verkäufer einsehbar

Der Online-Marktplatz Kleinanzeigen hat eine neue Funktion freigeschaltet, mit der Nutzer künftig nicht nur die Anzahl ihrer Abonnenten sehen, sondern auch deren Profilnamen einsehen und unerwünschte Follower löschen können. Bisher war nur die Gesamtzahl der Follower für jeden sichtbar, nicht jedoch, wer genau einem folgt.

Read More

Kritische Schwachstelle in Dell PowerScale OneFS NAS

Am 4. Juni 2025 hat Dell ein umfangreiches Sicherheits-Update (DSA-2025-208) für PowerScale OneFS veröffentlicht, das mehrere teils kritische Lücken schließt. Betroffen sind insbesondere OneFS-Versionen 9.5.0.0 bis 9.10.0.1:

Read More

Exploit für kritische CVE-2025-49113 Lücke in Roundcube Webmail aufgetaucht

Am 1. Juni 2025 haben die Entwickler von Roundcube Webmail neue Sicherheitsupdates für die beiden langfristig unterstützten Versionen 1.6.x und 1.5.x veröffentlicht. Die Releases 1.6.11 und 1.5.10 schließen eine kritische Schwachstelle (CVE-2025-49113), bei der sich authentifizierte Angreifer durch unsichere Verarbeitung des _from-Parameters in program/actions/settings/upload.php via PHP Object Deserialization beliebigen Code ausführen können. Der Exploit wurde bereits in Form eines Nuclei-Templates veröffentlicht. Betroffen sind alle Roundcube-Installationen vor Version 1.6.11 bzw. 1.5.10. Das Team empfiehlt dringend, produktive Systeme umgehend auf diese Versionen zu aktualisieren, um Remote Code Execution zu verhindern und den Schutz Ihrer Webmail-Instanz zu gewährleisten.

Read More