EDV-Sicherheit

Wer OpenPGP.js verwendet, sollte die Bibliothek dringend aktualisieren. Angreifer können verschlüsselte und/oder signierte Nachrichten fälschen.

Ein Forscher hat gravierende Sicherheitsmängel in der Volkswagen-App und der zugehörigen API aufgedeckt. Daten fremder Autos konnten leicht erbeutet werden.

Zusammenfassung

• Microsoft bestätigt kritische Zero-Day-Schwachstelle in allen Windows-Versionen
• Angriffe betreffen Organisationen aus IT, Immobilien, Finanz und Einzelhandel
• BSI warnt vor möglicher Ausführung von Schadcode mit Systemrechten
• Angreifer können unter bestimmten Umständen volle Kontrolle übernehmen
• Social-Engineering-Methoden werden oft mit der Sicherheitslücke kombiniert
• Microsoft hat Patch veröffentlicht und empfiehlt sofortige Installation

Angreifer hatten das Paket rand-user-agent, das unter anderem für automatische Tests und zum Web-Scraping dient, mit Schadcode versehen.

Archiv und Ursprungsartikel von Hive Systems (Englisch)

Seit 2013 gilt der erste Donnerstag im Mai als »World Password Day« - oder einfach nur der Welt-Passwort-Tag. In diesem Jahr fällt die Ehre auf den 1. Mai 2025.
Pünktlich dazu haben die Sicherheitsspezialisten von Hive Systems ihre jährliche Passworttabelle aktualisiert: Wie lange brauchen Angreifer, um euer Passwort zu knacken?

Als Berechnungsgrundlage dienen zwölf Nvidia Geforce RTX 5090, die als aktuell stärkste Consumer-GPU massig Leistung hat, um ein vergleichsweise schwaches Passwort zu knacken. [...]

Die konkret untersuchten Fälle betrafen Sicherheitslücken in FortiOS SSL-VPN (CVE-2022-42475, CVSS 9.3, Risiko "kritisch"), FortiOS und FortiProxy SSL-VPN (CVE-2023-27997, CVSS 9.2, Risiko "kritisch") sowie im sslvpnd von FortiOS und FortiProxy (CVE-2024-21762, CVSS 9.6, Risiko "kritisch").

Schaut schnell nach, solange es CVE noch gibt.

Eine BSI-Studie hat gravierende Sicherheitslücken in Krankenhausinformationssystemen (KIS) enthüllt. Zwei untersuchte Systeme zeigten Schwächen bei Verschlüsselung, Zertifikatsprüfung und Passwortverwaltung, was sensible Patientendaten gefährdet.

Die Untersuchung des Fraunhofer-Instituts im BSI-Auftrag deckte unverschlüsselte Datenübertragungen und veraltete Sicherheitsalgorithmen auf. Auch das Rechtemanagement war mangelhaft. Obwohl viele Lücken geschlossen wurden, bleibt die Sicherheit hinter der Systemverfügbarkeit zurück.

Die Forscher warnen vor potenziellen Angriffen und empfehlen dringend Maßnahmen, wie die Nutzung moderner Austauschformate. Ein aktueller Ransomware-Angriff in Rumänien unterstreicht die Dringlichkeit. Das BSI hat Handlungsempfehlungen veröffentlicht, die bis Ende Juni kommentiert werden können.

-- Zusammenfassung durch Le Chat - Mistral AI

cross-posted from: https://feddit.org/post/9775871

Archiv

Es ist wieder Zeit, die nicht technikaffine Verwandtschaft/den Freundeskreis zu warnen.

Volle zehn Punkte im Common Vulnerability Scoring System (CVSS) muss man erst mal schaffen. Das gelang nun der Fernwartungsfirmware AMI MegaRAC, die auf Baseboard Management Controllern (BMCs) von Servern unter anderem von Asus, Asrock Rack, HPE und Lenovo läuft.

Wie aus einer Warnmeldung hervorgeht, gelten zwei Sicherheitslücken (CVE-2025-25291, CVE-2025-25292) als "kritisch". Systeme sind aber nur verwundbar, wenn die Authentifizierung via SAML SSO aktiv ist und Angreifer bereits einen Nutzer-Account übernommen haben.

Die Entwickler geben an, die Schwachstellen in Gitlab Community und Enterprise Edition 17.7.7, 17.8.5 und 17.9.2 geschlossen zu haben. Auf Gitlab.com laufen bereits die abgesicherten Ausgaben.