Wissen

Meta und Yandex - unerlaubtes Android Nutzer Tracking ĂŒber Localhost Verbindungen

Viele Websites binden Meta Pixel (Facebook/Instagram) oder Yandex Metrica ein, um Besucherdaten zu sammeln. Doch seit Herbst 2024 nutzen beide Anbieter eine versteckte Methode, bei der ihr JavaScript im mobilen Browser mit nativen Android-Apps auf demselben GerĂ€t kommuniziert – ĂŒber „localhost“-Verbindungen, wie die Seite Localmess auf Github berichtet. Dadurch lassen sich Web-Cookies (z. B. das Meta-_fbp-Cookie) heimlich an App-IdentitĂ€ten (Facebook/Instagram-Logins, Android Advertising ID) koppeln und Nutzer eindeutig wiedererkennen, selbst wenn sie im Inkognito-Modus surfen oder Cookies gelöscht haben. Der Meta Pixel ist laut HTTP Archive in rund 2,4 Millionen der meistbesuchten Websites eingebunden. Yandex Metrica findet sich auf etwa 575 000 Sites (EU-Crawl) bzw. 1,3 Millionen (US-Crawl).

Read More

Kritische Schwachstellen in Acronis Backup Systemen

In der aktuellen Version des Backup Systems Acronis Cyber Protect 16 wurden mehrere teils schwerwiegende SicherheitslĂŒcken entdeckt, die es Angreifern ermöglichen, unbefugt Daten auszulesen, zu Ă€ndern oder höhere Rechte im System zu erlangen. Betroffen sind Linux- und Windows-Installationen vor der Build‐Nummer 39938. Folgende CVEs stechen besonders hervor:

Read More

Python 3.12: Path Escape via tarfile-Filter

ZusĂ€tzlich wurde am 3. Juni 2025 mit CVE-2025-4517 eine kritisch Schwachstelle im tarfile-Modul von Python veröffentlicht. Wie bei CVE-2024-12718 dreht sich auch CVE-2025-4517 um die neuen Extraktionsfilter („filter=“), die ab Python 3.12 eingefĂŒhrt wurden, um beim Entpacken von TAR-Archiven Metadaten und Berechtigungen kontrolliert zuzuweisen. In beiden FĂ€llen erlauben fehlerhafte Filteroptionen jedoch einen Escapismus aus dem vorgesehenen Entpackungsverzeichnis und damit Manipulationen an beliebigen Dateien im Dateisystem.

Read More

Firefox: Zero-Click Schwachstelle erfordet sofortiges patchen

Gestern wurde die SicherheitslĂŒcke CVE-2025-5262 in der National Vulnerability Database (NVD) und im GitHub Advisory Database veröffentlicht. Betroffen ist der Doppel-Free-Fehler in der Funktion vpx_codec_enc_init_multi, die den VP8/VP9-Encoder fĂŒr WebRTC initialisiert. Nach einem fehlgeschlagenen Speicher­allokationsversuch kann es zu einer doppelten Freigabe (Double-Free) kommen, was Speicher­korruption und potenziell ausnutzbare AbstĂŒrze zur Folge haben kann. Durch den Double-Free-Fehler kann Angreifern eine Denial-of-Service-Attacke oder – beim Vorhandensein weiterer Bug-Ketten – eine Remote-Code-Execution gelingen.

Read More

Google zwingt Publisher ihrer KI-Indizierung und KI-Suche zuzustimmen

Google hat sich laut einem internen Dokument bewusst dagegen entschieden, Publishern eine prĂ€zisere Kontrolle ĂŒber die Verwendung ihrer Inhalte in der KI-Suche zu ermöglichen. Statt klarer Opt-out-Optionen fĂŒr KI-Features wie „AI Overviews“, bleibt Publishern nur die radikale Entscheidung: vollstĂ€ndiger Ausstieg aus der Google-Suche.

Read More

Anthropic-Modell Claude 4 Opus zeigt besorgniserregendes Verhalten

Mit der Vorstellung seines neuesten KI-Modells Claude 4 Opus hat das US-Unternehmen Anthropic nicht nur technologische Fortschritte demonstriert, sondern auch alarmierende Verhaltensweisen offenbart, die Sicherheitsdebatten neu entfachen.

Read More

Kritische Schwachstelle in NETGEAR-Router erlaubt Admin-Zugriff ohne Authentifizierung

Sicherheitsforscher haben eine schwerwiegende Schwachstelle (CVE-2025-4978) in NETGEARs DGND3700v2-Routern entdeckt, die es Angreifern ermöglicht, ohne Login-Daten vollstĂ€ndigen Administratorzugriff zu erlangen. Die LĂŒcke wird mit einem CVSSv4-Score von 9.3 als kritisch eingestuft.

Read More

Kritische DoS-Schwachstelle in mod_security2 – CVE-2025-47947

Eine schwerwiegende SicherheitslĂŒcke bedroht derzeit Webserver, die das Apache-Modul mod_security2 einsetzen. Die am 21. Mai 2025 veröffentlichte Schwachstelle mit der Kennung CVE-2025-47947 ermöglicht es Angreifern, durch gezielt prĂ€parierte Anfragen einen Denial-of-Service (DoS) auszulösen – und das mit nur einer einzigen HTTP-Anfrage.

Read More

TikTok-Videos verbreiten Schadsoftware ĂŒber Selbstinfektions-Tutorials

Sicherheitsforscher von Trend Micro haben eine neue, perfide Social-Engineering-Kampagne aufgedeckt, bei der TikTok-Videos zur Verbreitung von Vidar- und StealC-Infostealern eingesetzt werden. Die Clips, teils offenbar KI-generiert, versprechen kostenlose Premium-Software – in Wahrheit fĂŒhren sie Nutzer gezielt dazu, gefĂ€hrliche PowerShell-Befehle auszufĂŒhren.

Read More

Datenpanne bei Coinbase - potenzielle SchÀden bis zu 400 Millionen US-Dollar

Die Kryptobörse Coinbase hat einen schweren Datenschutzvorfall bekanntgegeben, bei dem 69.461 Kunden betroffen sind. In einer Meldung an das BĂŒro des Generalstaatsanwalts von Maine erklĂ€rte das Unternehmen, dass Dienstleister an internationalen Supportstandorten unbefugt auf Kundendaten zugegriffen hĂ€tten.

Read More