Wissen

CVE-2025-23114: Man-In-The-Middle Schwachstellen in Veeam Backup Produkten

Veröffentlicht: 04. Februar 2025 Schweregrad: Kritisch (CVSS v3.1 Score: 9.0)

Read More

Active Directory Domain Services Schwachstelle CVE-2025-21293 zur Privilegienerweiterung

Im September 2024 entdeckte der Sicherheitsforscher BirkeP eine SicherheitslĂĽcke in Active Directory Domain Services (AD DS), die zur Privilegienerweiterung genutzt werden kann. Die Schwachstelle CVE-2025-21293 wurde durch die Untersuchung der integrierten “Network Configuration Operators”-Gruppe identifiziert, die erweiterte Rechte auf bestimmte Registry-SchlĂĽssel besitzt. Dies ermöglichte es Angreifern, durch das Manipulieren von Performance Counter-Daten Schadcode mit SYSTEM-Rechten auszufĂĽhren.

Read More

ChatGPT-4o: Jailbreak-Exploit "Time Bandit"

Das CERT Coordination Center (CERT/CC) hat eine Schwachstelle in ChatGPT-4o entdeckt, die als “Time Bandit” bekannt ist. Dieser Exploit erlaubt es Angreifern, die Sicherheitsmechanismen des KI-Modells zu umgehen und Inhalte zu generieren, die sonst blockiert wĂĽrden. Der Angriff erfolgt durch gezielte Befragung des Chatbots zu historischen Zeiträumen, wodurch eine sogenannte “Timeline-Confusion” entsteht.

Read More

Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4Omdia hat vor kurzem die Ergebnisse einer neuen Globalumfrage unter Smartphone-Nutzern vorgestellt. Deren Fazit: auch wenn es um Smartphones geht, stellen Phishing-Angriffe derzeit das mit Abstand größte Sicherheitsrisiko dar. Fast ein Viertel aller Befragten, knapp 24 Prozent, gab in der Umfrage zu Protokoll, schon mindestens einmal Opfer eines Phishing-Angriffs auf ihr Smartphone geworden zu sein. An zweiter Stelle folgten Malware und Viren (knapp 20 Prozent) – die in aller Regel in Begleitung von Social Engineering-Angriffen in die Systeme ihrer Opfer gelangen.

Read More

Apple nutzt seine Nutzer fĂĽr Stimmungsmache gegen den EU Digital Markets Act

Leseempfehlung: ein Anfang Februar 2025 erschienener Golem-Artikel von Daniel Ziegener beleuchtet kritisch, wie Apple die eigene Marktmacht nutzt, um Stimmung gegen die Regulierung durch die Europäische Union (EU) zu machen. Konkret geht es um die Verzögerung von Apple Intelligence und weiteren Funktionen von iOS 18 für europäische Nutzer, die Apple mit „regulatorischen Unsicherheiten“ im Zusammenhang mit dem Digital Markets Act (DMA) begründet.

Read More

D-Trust Datenleck – 1.200 Ärzte in Mitteldeutschland von Datenleck betroffen

Ein Datenleck bei D-Trust, einem Anbieter für digitale Identitäten und Teil der Bundesdruckerei-Gruppe, hat sensible Informationen von 1.200 Ärzten in Sachsen, Sachsen-Anhalt und Thüringen ungeschützt online zugänglich gemacht, wie der MDR berichtete. Betroffen sind Namen, E-Mail-Adressen, Geburtsdaten sowie in einigen Fällen Adress- und Ausweisdaten. Diese Informationen wurden von Medizinern genutzt, um Zugänge zur elektronischen Patientenakte (ePA) zu beantragen.

Read More

DeepSeek: Millionen sensibler Datensätze geleakt

Ein schwerwiegendes Sicherheitsproblem wurde bei DeepSeek, einem chinesischen KI-Startup, entdeckt. Das Sicherheitsteam von Wiz Research fand eine öffentlich zugängliche ClickHouse-Datenbank, die ohne Authentifizierung abrufbar war. Diese Sicherheitslücke ermöglichte uneingeschränkten Zugriff auf interne Daten, einschließlich Chatverläufe, API-Schlüssel, Backend-Informationen und Betriebslogs. Insgesamt wurden über eine Million sensible Log-Einträge offengelegt.

Read More

SicherheitslĂĽcken in Vaultwarden: Privilegieneskalation und Admin-Panel-Ăśbernahme

In Vaultwarden, einer beliebten Open-Source-Alternative zu Bitwarden, wurden drei schwerwiegende Sicherheitslücken entdeckt, die es Angreifern ermöglichen, administrative Kontrolle über fremde Organisationen zu erlangen oder das Admin-Panel unautorisiert zu manipulieren. Betroffen sind alle Versionen bis einschließlich 1.32.7, die Schwachstellen wurden in Version 1.33.0 behoben.

Read More

RCE SicherheitslĂĽcken in Canon Laser- und Multifunktionsdruckern entdeckt

Canon hat mehrere Buffer Overflow-Schwachstellen in bestimmten Laser- und Small Office Multifunctional Printers (MFPs) identifiziert. Diese Sicherheitslücken, katalogisiert unter CVE-2024-12647, CVE-2024-12648 und CVE-2024-12649, könnten es Angreifern ermöglichen, beliebigen Code auszuführen oder einen Denial-of-Service (DoS)-Angriff auszulösen, falls die betroffenen Geräte direkt mit dem Internet verbunden sind.

Read More

SicherheitslĂĽcken in G DATA Security Client und Management Server

G DATA Security Client – Lokale Rechteausweitung (CVE-2025-0543) Eine Sicherheitslücke wurde im SetupSVC-Dienst des G DATA Security Clients entdeckt. Dieser Dienst führt ausführbare Dateien aus einem benutzerbeschreibbaren Verzeichnis aus und lädt außerdem zwei nicht existierende DLLs aus einem weiteren benutzerbeschreibbaren Verzeichnis. Ein Angreifer kann durch das Platzieren von manipulierten Dateien in diesen Verzeichnissen eine beliebige Codeausführung mit SYSTEM-Rechten herbeiführen.

Read More