Anmelden
VLC-Updates schließen Sicherheitslücken
(Bild: heise medien)
Die Version 3.0.23 des VLC Media Player bessert diverse Schwachstellen aus, die möglicherweise Unterschieben von Schadcode erlauben.
Das VideoLAN-Projekt hat mit den Versionen 3.0.22 und 3.0.23 des VLC Player diverse Sicherheitslücken beim Verarbeiten von unterschiedlichen Medienformaten ausgebessert. Wer die Software zum Streamen und zur Medienwiedergabe einsetzt, sollte auf die jüngste Version aktualisieren.
In einer Sicherheitsmitteilung erörtert das VideoLAN-Projekt [1] die Sicherheitslücken, die VLC 3.0.22 bereits schließt. Die Schwachstellen können VLC [2] abstürzen lassen, die Entwickler schließen jedoch nicht aus, dass sie sich verknüpfen lassen, um Schadcode auszuführen oder Nutzerinformationen preiszugeben. Immerhin haben sie keine Hinweise darauf, dass die Lücken bereits missbraucht würden.
Die Schwachstellen betreffen die Verarbeitung der Formate und Verarbeitungsmodule MMS, OggSpots, CEA-708-Untertitel, ty, CVD-Untertitel, Ogg-Demuxer, WebVTT, NSV-Demuxer, SRT-Untertitel, ASF, MP4-Demuxer, SPU-Decoder, SVCD-Untertitel-Decoder, tx3g-Untertitel-Decoder und schließlich den Audio-Ausgabe-Puffer auf dem Stack. In den News [3] listen die Programmierer in den Änderungen zwischen VLC 3.0.22 und 3.0.21 unter „Security“ noch weitere Schwachstellen auf und merken an, dass auch diese Liste nicht erschöpfend ist.
Die jüngere Version VLC 3.0.23 ist laut Release-Notes [4] nur ein kleines nachgeschobenes Fix-Release. Allerdings korrigiert auch sie einige weitere Sicherheitslücken, wie in den VLC-News nachzulesen [5] ist. Etwas stakkatoartig listen die Entwickler dort auf, dass sie eine „Null Deref“ in libass behoben haben, was vermutlich eine Null-Pointer-Dereferenzierung meint. In den Modulen zur Verarbeitung von Theora und CC-708 gab es offenbar undefinierte Shifts, in Daala hingegen einen Integer-Überlauf. Der h264-Parser konnte in eine Endlosschleife geraten. Zudem korrigierten sie darin einen Pufferüberlauf in PNG sowie mehrere „Format-Überläufe“.
Auf der Download-Seite von VLC [6] steht die Software vorkompiliert für diverse Plattformen zum Herunterladen bereit. Inzwischen wurde die Software 6 Milliarden Mal heruntergeladen [7]; die Entwickler planen zudem die Ergänzung von lokalen KI-Funktionen.
URL dieses Artikels:
https://www.heise.de/-11135921
Links in diesem Artikel:
[1] https://www.videolan.org/security/sb-vlc3022.html
[2] https://www.heise.de/thema/VLC-media-player
[3] https://code.videolan.org/videolan/vlc/-/raw/3.0.x/NEWS
[4] https://code.videolan.org/videolan/vlc/-/tags/3.0.23
[5] https://code.videolan.org/videolan/vlc/-/raw/3.0.x/NEWS
[6] https://www.videolan.org/vlc/
[7] https://www.heise.de/news/VLC-Player-Mehrsprachige-Untertitel-durch-lokale-KI-10233677.html
[8] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[9] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Die Telefonaktivierung von Windows ist laut Bandansage „derzeit“ nicht verfügbar. Microsoft bestätigt nun: Sie ist Geschichte.
Seit Kurzem gibt es Diskussionen und Mutmaßungen dazu, dass Windows [1] nicht telefonisch aktivierbar ist. Beim Versuch erhält man den Hinweis, dass das „derzeit“ nicht möglich sei. Microsoft bestätigt, dass das so gewollt ist. Das Unternehmen macht die Zwangsaktivierung des Betriebssystems damit noch komplizierter.
Am Wochenende ließ sich verifizieren [2], dass Windows sich nicht telefonisch aktivieren lässt. Beim Versuch ertönt lediglich eine Bandansage. Die verkündet, dass der Anruf „derzeit“ nicht bearbeitet werden kann, und verweist lediglich auf support.microsoft.com – also Microsofts allgemeine Support-Startseite. Zu dem Zeitpunkt war jedoch unklar, ob es sich um eine (längere) Störung handelt oder ob Microsoft die Möglichkeit dauerhaft eingestampft hat. Auch zum Meldungszeitpunkt steht die Anleitung zum Aufruf der telefonischen Aktivierung weiterhin auf Microsofts Webseiten [3] online.
Auf der englischsprachigen Webseite hingegen hat Microsoft [4] die Option in der Anleitung bereits entfernt. „Microsoft modernisiert die Aktivierung für unbefristete Lizenzen“, erklärt das Unternehmen dort.
(Bild: heise medien)
„Ab dem 3. Dezember 2025 wird der traditionelle automatisierte Produktaktivierungsprozess mittels Telefon ins Internet verlagert. Kunden müssen stattdessen das Produktaktivierungsportal nutzen“, erklärt Microsoft weiter. „Der neue digitale Workflow bietet eine sicherere, zuverlässigere und benutzerfreundlichere Aktivierungserfahrung und hilft, Betrug zu verhindern. Obwohl der Prozess aktualisiert wurde, werden Offline-Aktivierungsfunktionen weiterhin unterstützt. Kunden, die sich auf die herkömmliche Offline-Aktivierung verlassen, können diese ohne Änderungen an ihrer Umgebung weiterhin nutzen.“
Microsoft [5] erklärt, dass das Portal zur Produktaktivierung [6] einen Log-in erfordert. Das dafür genutzte Konto wird jedoch nicht automatisch mit den zu aktivierenden Lizenzen verknüpft. Im Portal lässt sich aussuchen, welches Produkt man aktivieren möchte – Windows, Office, Windows Server und so weiter. An Windows-Versionen geht die Liste dann von aktuellem Windows 11 bis zum eigentlich nicht mehr unterstützten Windows XP zurück. Damit soll eine Aktivierung von Software auch ohne Internetverbindung des Zielgerätes möglich sein. Es ist jedoch ein zweites Gerät mit Internetanbindung dazu nötig, um auf das Aktivierungsportal zuzugreifen, etwa ein Smartphone, Tablet oder Computer.
URL dieses Artikels:
https://www.heise.de/-11135717
Links in diesem Artikel:
[1] https://www.heise.de/thema/Windows
[2] https://www.heise.de/news/Windows-momentan-nicht-telefonisch-aktivierbar-11128240.html
[3] https://support.microsoft.com/de-de/windows/produktaktivierung-f%C3%BCr-windows-online-microsoft-support-produktaktivierungsportal-35f6a805-1259-88b4-f5e9-b52cccef91a0
[4] https://support.microsoft.com/en-us/windows/activate-microsoft-perpetual-products-using-the-product-activation-portal-64fdc7f5-ce38-42a9-aea8-393020149983
[5] https://www.heise.de/thema/Microsoft
[6] https://visualsupport.microsoft.com/
[7] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
Apple CarPlay: Autohersteller sehen keinen Patch-Bedarf.
(Bild: Apple)
Letzten Herbst wurden Lücken in der AirPlay-Implementierung diverser Geräte entdeckt – auch in CarPlay. Daran wird sich bei einigen Marken wohl nichts ändern.
Kein Patch trotz teurem Schlitten: BMW [1] hat sich offenbar dazu entschlossen, für seine Car-Entertainment-Systeme keine Fehlerbehebungen für die sogenannte Pwn-My-Ride-Lücke [2] an die Kundschaft zu geben. Das im Frühjahr 2025 entdeckte Problem ist massiv, betrifft Apples Streamingprotokoll AirPlay sowie bei Fahrzeugen auch CarPlay – und kann zur Übernahme ganzer Geräte genutzt werden. Apple hatte seine eigene Hardware verhältnismäßig schnell gepatcht, doch viele Anbieter von Unterhaltungselektronik mit AirPlay- und CarPlay-Fähigkeit zogen entweder nicht nach oder brauchten Monate. Im September hieß es etwa, dass noch zahlreiche Autohersteller betroffen [3] sind. Unklar war zum damaligen Zeitpunkt, welche Marken Patches ganz unterlassen. Das wird nun langsam deutlich.
Ein Mac & i-Leser, der einen BMW i3s besitzt, der im Februar 2024 übernommen wurde, versuchte seit vielen Monaten, eine Antwort vom Hersteller zu bekommen. Nachdem bei Werkstatt und Kundenservice wenig auszurichten war, wendete er sich an das BMW-Beschwerdemanagement. Das Ergebnis war ernüchternd. Zwar räumte BMW ein, dass das Fahrzeug von der grundsätzlichen Lücke [4] (CVE-2025-24132) betroffen ist. Allerdings sieht der Konzern keine Gefahr.
Man habe das Leck „kurz nach Veröffentlichung“ von „unseren Experten“ prüfen lassen. Dabei ergab sich dann Folgendes: „Die gemeldete Sicherheitslücke erfordert, dass ein Angreifer mit einem böswilligen Gerät aktiv eine Kopplung mit der Headunit des Fahrzeugs via Bluetooth durchführt.“ Dieser Kopplungsprozess setzte sowohl eine direkte Initiierung aus dem Kopplungsmenü des Fahrzeugs als auch eine PIN-basierte Validierung voraus. „Dieser mehrstufige Prozess stellt sicher, dass eine unbeabsichtigte oder unautorisierte Kopplung praktisch ausgeschlossen [ist].“ Angesichts dieser „strengen Voraussetzungen“ wird „das Sicherheitsrisiko für unsere Kunden als äußerst gering“ eingeschätzt.
Und da das Ausnutzen der Sicherheitslücke „von unseren Security-Experten als äußerst gering eingeschätzt“ wurde, sei eben „kein weiteres Software-Update für Ihr Fahrzeugmodell geplant“. Er hoffe, „dass diese Erklärung Klarheit und Sicherheit in Bezug auf die bestehenden Maßnahmen zum Schutz der Kundensicherheit bietet“, so der Bearbeiter weiter. Der Mac & i-Leser ist mit der Entscheidung nicht einverstanden: „Für meine Wenigkeit trägt das Verhalten von BMW nicht zur Kundenbindung bei.“
Tatsächlich lässt sich die Entscheidung BMWs nur schwer nachvollziehen. Zur Anwendung eines potenziellen Exploits – also der Übernahme des Car-Entertainment-Systems mit möglicherweise schweren Folgen – reicht es aus, physischen Zugriff (also samt Schlüssel) auf das Fahrzeug zu haben. Die Kopplung ist weder durch ein Nutzerpasswort geschützt noch auf andere Art – das kennt man etwa aus Mietfahrzeugen, in denen zig Bluetooth-Profile zu finden sind. BMW reagierte auf eine Anfrage an die Pressestelle zunächst nicht. Mit „Pwn My Ride“ ist ein Root-Zugriff auf das Unterhaltungssystem samt aller sich daraus ergebender Möglichkeiten verbunden: Von der Manipulation des Systems über das Abgreifen von Daten bis zu Spionage. Die Firma Oligo, die das Problem entdeckt hat, veröffentlichte dazu mehrere recht beeindruckende Beispiele [5], die auch über CarPlay laufen.
URL dieses Artikels:
https://www.heise.de/-11134596
Links in diesem Artikel:
[1] https://www.heise.de/thema/BMW
[2] https://www.heise.de/news/Schwere-Luecken-in-AirPlay-Apple-patcht-andere-Geraete-wohl-weiter-angreifbar-10366898.html
[3] https://www.heise.de/news/AirPlay-Luecke-steckt-noch-in-zahllosen-CarPlay-Autos-10652715.html
[4] https://nvd.nist.gov/vuln/detail/cve-2025-24132
[5] https://www.oligo.security/blog/pwn-my-ride-exploring-the-carplay-attack-surface
[6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[7] https://www.heise.de/mac-and-i
[8] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
(Bild: Black_Kira / Shutterstock.com)
Die Self-Hosting-Plattform Coolify ist schwer verwundbar. In Deutschland gibt es Sicherheitsforschern zufolge fast 15.000 angreifbare Instanzen.
Admins von Platform-as-a-Service-Umgebungen auf der Basis von Coolify sollten ihre Instanzen zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter anderem an sieben „kritischen“ Sicherheitslücken mit Höchstwertung (CVSS Score 10 von 10) ansetzen, um Server vollständig zu kompromittieren.
Scans von Sicherheitsforschern von Censys zeigen [1], dass sich der Großteil verwundbarer Systeme in Deutschland befindet. Weltweit sind es mehr als 52.000 Instanzen. Hierzulande fanden sie knapp über 14.800 Systeme. Ob es bereits Attacken gibt, ist zurzeit unklar. Admins sollten mit dem Patchen aber nicht zu lange zögern.
Auch wenn Angreifer in den meisten Fällen authentifiziert sein müssen, ist der Großteil der Schwachstellen mit dem Bedrohungsgrad „kritisch“ eingestuft. Setzen Angreifer erfolgreich an den Lücken an, können sie etwa als Rootnutzer Schadcode ausführen und so die volle Kontrolle über Systeme erlangen (etwa CVE-2025-64424). Außerdem sind Zugriffe auf eigentlich geschützte private SSH-Schlüssel möglich (CVE-2025-64420), sodass sich Angreifer unbefugt Zugriff verschaffen können.
Insgesamt sind 16 Lücken bekannt. Laut Einträgen auf GitHub (siehe Ende dieser Meldung) sind derzeit aber nur Sicherheitsupdates für acht Schwachstellen verfügbar. Wann die Entwickler die verbleibenden Lücken schließen, ist derzeit unklar.
Diese Patches sind zurzeit verfügbar:
Weiterführende Informationen zu den Lücken bedrohten Ausgaben und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:
URL dieses Artikels:
https://www.heise.de/-11134510
Links in diesem Artikel:
[1] https://censys.com/advisory/cve-2025-64424-cve-2025-64420-cve-2025-64419
[2] https://github.com/coollabsio/coolify/security/advisories/GHSA-24mp-fc9q-c884
[3] https://github.com/coollabsio/coolify/security/advisories/GHSA-5cg9-38qj-8mc3
[4] https://github.com/coollabsio/coolify/security/advisories/GHSA-cj2c-9jx8-j427
[5] https://github.com/coollabsio/coolify/security/advisories/GHSA-q33h-22xm-4cgh
[6] https://github.com/coollabsio/coolify/security/advisories/GHSA-qwxj-qch7-whpc
[7] https://github.com/coollabsio/coolify/security/advisories/GHSA-q7rg-2j7p-83gp
[8] https://github.com/coollabsio/coolify/security/advisories/GHSA-vm5p-43qh-7pmq
[9] https://github.com/coollabsio/coolify/security/advisories/GHSA-234r-xrrg-m8f3
[10] https://github.com/coollabsio/coolify/security/advisories/GHSA-qx24-jhwj-8w6x
[11] https://github.com/coollabsio/coolify/security/advisories/GHSA-h5xw-7xvp-xrxr
[12] https://github.com/coollabsio/coolify/security/advisories/GHSA-h52r-jxv9-9vhf
[13] https://github.com/coollabsio/coolify/security/advisories/GHSA-4p6r-m39m-9cm9
[14] https://github.com/coollabsio/coolify/security/advisories/GHSA-f737-2p93-g2cw
[15] https://github.com/coollabsio/coolify/security/advisories/GHSA-4fqm-797g-7m6j
[16] https://github.com/coollabsio/coolify/security/advisories/GHSA-927g-56xp-6427
[17] https://github.com/coollabsio/coolify/security/advisories/GHSA-688j-rm43-5r8x
[18] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[19] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: heise online / Kanboard)
In Kanboard stecken drei Sicherheitslecks. Das gravierendste erlaubt die Anmeldung als beliebiger Nutzer. Ein Update steht bereit.
Das Open-Source-Kanban Kanboard ist von drei Schwachstellen betroffen. Eine davon gilt den Entwicklern als kritisches Risiko und ermöglicht die Anmeldung als beliebiger User – sofern eine bestimmte Konfigurationsoption gesetzt ist.
Die Release-Ankündigung zu Kanboard 1.2.49 [1] nennt einige sicherheitsrelevante Korrekturen. Zu den Schwachstellen gibt es auch CVE-Einträge. Sofern die Option REVERSE_PROXY_AUTH aktiviert wurde, vertraut Kanboard HTTP-Headern blindlings, dass sie von authentifizierten Usern stammen, ohne zu prüfen, ob die Anfrage von einem vertrauenswürdigen Reverse-Proxy stammt (CVE-2026-21881 [2], CVSS 9.1, Risiko „kritisch“). Das ermöglicht faktisch die Umgehung der Authentifizierung.
Zudem können Angreifer eigene Eingaben in LDAP-Suchfilter einschleusen, die nicht korrekt ausgefiltert werden. Damit lassen sich alle LDAP-User durchiterieren und sensible Nutzerattribute herausfinden, und mit diesem Wissen gezielte Angriffe gegen bestimmte Accounts ausführen (CVE-2026-21880 [3], CVSS 5.4, Risiko „mittel“). Eine Open-Redirect-Schwachstelle ermöglicht Angreifern, authentifizierte User auf von ihnen kontrollierte Webseiten umzuleiten, indem sie URLs der Gestalt „//evil.com“ erstellen, womit sich der URL-Filter umgehen lässt. Das erlaubt zudem Phishing-Angriffe, das Stehlen von Zugangsdaten oder das Verteilen von Malware (CVE-2026-21879 [4], CVSS 4.7, Risiko „mittel“).
All die Probleme lösen die Entwickler in Kanboard 1.2.49. Die aktualisierten Quellen stehen auf der Github-Seite von Kanboard [5] bereit. Die Linux-Distributionen dürften in Kürze mit neuen, fehlerbereinigten Paketen nachlegen. IT-Admins sollten die Paketverwaltung ihrer Distribution zur Update-Suche bemühen.
Zuletzt fiel im vergangenen Juni eine hochriskante Sicherheitslücke in Kanboard [6] auf. Sie ermöglichte Angreifern, Kanboard-Konten zu übernehmen.
URL dieses Artikels:
https://www.heise.de/-11134247
Links in diesem Artikel:
[1] https://github.com/kanboard/kanboard/releases/tag/v1.2.49
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-21881
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-21880
[4] https://nvd.nist.gov/vuln/detail/CVE-2026-21879
[5] https://github.com/kanboard/kanboard
[6] https://www.heise.de/news/Kanboard-Sicherheitsluecke-ermoeglicht-Kontouebernahme-10457116.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Dr. Ansay)
Bei dem Telemedizin-Anbieter Dr. Ansay hat es erneut eine Sicherheitslücke gegeben. Dadurch waren hunderttausende Kunden gefährdet.
Bei dem Telemedizinanbieter Dr. Ansay hat es eine Sicherheitslücke gegeben, durch die rund 1,7 Millionen Rezepte von rund einer halben Million Kunden potenziell einsehbar waren. Betroffen sind vor allem Cannabis-Rezepte mit Gesundheits- und personenbezogenen Daten, darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern und Angaben zu den rund 15 verschreibenden Ärzten, die meist nicht aus Deutschland kommen. Außerdem waren dort Daten zu Medikamenten, Dosierungen sowie ausgewählten Apotheken einsehbar sowie beispielsweise auch Bestellungen zu Schmerzmitteln. Fragen dazu, ob Daten abgeflossen sind, beantwortet das Unternehmen nicht.
Bei heise online gingen Hinweise darauf ein, dass die Lücke auf einer Fehlkonfiguration der Zugriffsregeln einer Firebase-Firestore-Datenbank basiert. heise online konnte das bestätigen. Durch die Fehlkonfiguration konnten eingeloggte Nutzer mit einem gültigen Token nicht nur auf ihre eigenen Rezepte, sondern auf sämtliche Datensätze zugreifen. Trotz mehrerer Meldeversuche an das Unternehmen blieb eine Reaktion zunächst aus, die Daten waren bis Anfang Januar weiterhin ungeschützt. Am Abend, nachdem heise online eine Anfrage an das Unternehmen gestellt hatte, wurde die Lücke geschlossen.
Zentrale Fragen von heise online lässt Dr. Ansay unbeantwortet und begründet den Fund mit einem neu aufgelegten Bug-Bounty-Programm: [1] "Wir gehen davon aus, dass die Lücke aufgrund eines von uns initiierten Bug-Bounty-Programm gefunden wurde“.
Die Frage, ob eine Meldung an die Betroffenen gemäß Art. 34 der DSGVO erfolgt ist, lässt Dr. Ansay unbeantwortet. Gegenüber dem Sicherheitsforscher, der die Lücke gefunden hat, hatte Dr. Ansay angegeben, eine DSGVO-Meldung an die zuständige Behörde initiiert zu haben. Eine Anfrage von heise online an die Datenschutzbehörden in Malta wurden noch nicht beantwortet.
Bei der Datenschutzbehörde in Hamburg ist keine Meldung eingegangen, wie eine Sprecherin auf Anfrage von heise online mitteilt. „In Hamburg hat Dr. Ansay nach unserem Kenntnisstand nur noch für das Segment der Entwicklung und Vermarktung von telemedizinischer Software eine Niederlassung, die Dr. Ansay AU-Schein GmbH“. Daher habe die Meldung in Malta erfolgen müssen.
Die Kontaktaufnahme des Sicherheitsforschers hatte sich über die Feiertage leider verzögert", sagte eine Sprecherin. Inzwischen funktioniere die Kommunikation und das Problem habe sofort gelöst werden können. "Wir danken dem Sicherheitsforscher für die Arbeit und behandeln den Vorfall intern weiter". Weitere Details wolle Dr. Ansay "aktuell nicht teilen, da in Zukunft Black-Hat-Hacker diese nutzen könnten und wir unsere Systeme schützen".
Von Dr. Ansay unbeantwortet bleibt, seit wann die Sicherheitslücke bestand, ab wann das Unternehmen davon wusste, ob und in welchem Umfang Daten tatsächlich abgeflossen sind un ob die Betroffenen bereits informiert wurden. Offen bleibt auch, welche Schutzmaßnahmen geplant sind und warum die Lücke nicht durch eigene Sicherheitsprüfungen entdeckt wurde.
Gegenüber heise online und auf Reddit hatte Dr. Ansay noch im Dezember zugesichert, dass "interne Sicherheits- und Monitoringprozesse [...] kontinuerlich" laufen würden und es "keine Hinweise auf unautorisierten Zugriff oder einen Abfluss von Daten" gebe. Zu dem Zeitpunkt wurden in einem Untergrundforum vermeintlich von Dr. Ansay stammende Datensätze zum Verkauf angeboten. Woher die Daten kommen, ist unklar. Denkbar ist auch ein Mix aus bereits veröffentlichten Leaks anderer oder ähnlicher Plattformen. Bisher konnte die Echtheit der Daten nicht bestätigt werden.
(Bild: Reddit)
Datenschutz habe "oberste Priorität“, gibt Dr. Ansay an. „Die Systeme werden fortlaufend überprüft. Vor dem Hintergrund der aktuell vermehrt auftretenden Phishing- und Smishing-Versuche wurden die internen Kontrollen zusätzlich noch einmal intensiviert, ohne Befund".
Bereits im Mai 2024 hatte es bei Dr. Ansay eine öffentlich bekannte Datenpanne gegeben, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren. Damals meldete das Unternehmen den Vorfall an die Datenschutzbehörde, sprach von einer behobenen Lücke und informierte Betroffene per E-Mail.
Antwort der Landesdatenschutzbehörde von Hamburg ergänzt.
URL dieses Artikels:
https://www.heise.de/-11134191
Links in diesem Artikel:
[1] https://dransay.com/security
[2] https://heise.de/investigativ
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:mack@heise.de
Copyright © 2026 Heise Medien
(Bild: janews/Shutterstock.com)
Angreifer nutzen eine Schadcode-Lücke in HPE OneView aus. PowerPoint wird ausschließlich unter macOS attackiert.
Derzeit attackieren unbekannte Angreifer macOS-Systeme über eine siebzehn Jahre Sicherheitslücke in PowerPoint mit Schadcode. HPEs IT-Verwaltungssystem OneView ist derzeit ebenfalls mit Schadcode-Attacken konfrontiert. Admins sollten ihre Systeme dementsprechend umgehend über Sicherheitspatches absichern. In beiden Fällen ist unklar, in welchem Umfang und wie genau die Attacken ablaufen.
Vor den Angriffen warnt die US-Behörde Cyber & Infrastrutcture Security Agency (CISA) in einem aktuellen Beitrag [1]. In beiden Fällen gelangt nach einer erfolgreichen Attacke Schadcode auf Computer. Das führt in der Regel dazu, dass Angreifer die volle Kontrolle über Systeme erlangen.
Die Office-Lücke aus dem Jahr 2009 betrifft der Beschreibung der Schwachstelle (CVE-2009-0556 „hoch“) [2] PowerPoint 2000 SP3, 2002 SP3 sowie 2003 SP3 und PowerPoint in Microsoft Office 2004 für macOS. Um Angriffe einzuleiten, müssen Angreifer Opfern ein präpariertes PowerPoint-Dokument unterschieben. Öffnen Opfer die Datei, kommt es zu Speicherfehlern und im Anschluss zur Ausführung von Schadcode. Der alleinige Empfang so einer Datei, etwa via E-Mail, soll keine Attacken einleiten können. Opfer müssen also mitspielen.
In einem alten Beitrag von Microsoft findet man Informationen zur Lücke [3], aber der Beitrag mit Informationen zum Sicherheitsupdate ist mittlerweile nicht mehr online. Wer noch eine der veralteten und verwundbaren Versionen nutzt, sollte aus Sicherheitsgründen ein Upgrade durchführen oder auf eine Alternative umsteigen.
Die „kritische“ Lücke mit Höchstwertung (CVE-2025-37164, CVSS Score 10 von 10) in HPE OneView ist seit Dezember vergangenen Jahres bekannt [4]. Seitdem ist auch ein Hotfix verfügbar, der die Schwachstelle schließt. Weitere Informationen dazu hat der Softwareanbieter in einer Warnmeldung zusammengetragen [5].
URL dieses Artikels:
https://www.heise.de/-11132320
Links in diesem Artikel:
[1] https://www.cisa.gov/news-events/alerts/2026/01/07/cisa-adds-two-known-exploited-vulnerabilities-catalog
[2] https://nvd.nist.gov/vuln/detail/CVE-2009-0556
[3] https://learn.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-017
[4] https://www.heise.de/news/HPE-OneView-Kritische-Luecke-erlaubt-Codeschmuggel-aus-dem-Netz-11117707.html
[5] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Skorzewiak / Shutterstock.com)
Eine kritische Lücke im untgz-Tool der in vielen Betriebssystemen und Programmen enthaltenen zlib-Bibliothek ermöglicht Codeschmuggel.
In einem Werkzeug der Kompressionsbibliothek zlib, die in zahlreichen Programmen und Betriebssystemen enthalten ist, haben IT-Forscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht unter Umständen das Einschleusen und Ausführen von Schadcode. Ein Update zum Stopfen des Sicherheitslecks gibt es bislang noch nicht.
Auf der nur noch wenig aktiven Mailingliste Full Disclosure hat der IT-Forscher Ronald Edgerson [1] Informationen zur Sicherheitslücke gepostet. In der Funktion TGZfname() des untgz-Tools von zlib, das sich um die Dekompression von .tar.gz-Archiven (oder oftmals kurz .tgz) kümmert, kann ein Pufferüberlauf auftreten. Ursache ist das Kopieren von Nutzer-übergebenen Daten ohne Längenprüfung mit einem strcpy()-Aufruf auf einen globalen statischen Puffer von 1024 Byte Größe. Durch das Übergeben eines größeren Archivnamens erfolgt ein Schreibzugriff außerhalb der vorgesehenen Speichergrenzen, was zu Speicherverletzungen führt. Die Lücke hat nun den Schwachstelleneintrag CVE-2026-22184 [2] erhalten (CVSS4 9.3, Risiko „kritisch“).
Das untgz-Tool gehört zu Nutzer-beigesteuerten Werkzeugen (im contrib-Ordner des Projekts), die offiziell keinen Support erhalten. Sie sind jedoch auch nicht zwingend Bestandteil von ausgelieferten zlib-Paketen.
Edgerson führt aus, dass die Folgen unter anderem ein Absturz (Denial-of-Service, DoS), Speicherverletzungen von darauffolgenden globalen Objekten, nicht definiertes Verhalten oder sogar die Ausführung von eingeschleustem Code sein könnten. Jedoch gibt es dabei noch Abhängigkeiten vom verwendeten Compiler, der Prozessorarchitektur des Systems, verwendeten Build-Flags und dem Speicherlayout. Der verwundbare Code wird vor jedwedem Parsen oder Prüfungen des Archivs ausgeführt, wodurch sich die Lücke trivial allein durch Aufruf mit präpariertem Kommandozeilenparameter ausnutzen lasse. Da globaler Speicher betroffen sei, könnten die Speicherfehler über die Funktion hinaus wirksam werden und später das Programmverhalten beeinflussen.
Betroffen ist zlib bis einschließlich zur aktuellen Fassung 1.3.1.2, wie Vulncheck angibt [3], die den CVE-Schwachstelleneintrag erstellt und veröffentlicht haben. Aktualisierte Software steht derzeit noch nicht bereit. Im Github-Projekt von zlib [4] deutet zum Meldungszeitpunkt noch nichts auf Korrekturen im Quellcode hin. Ein Problembericht wurde jedoch [5] kürzlich eingereicht.
Im Herbst 2022 fiel die zlib-Bibliothek zuletzt durch eine kritische Sicherheitslücke auf. Auch dort konnten Angreifer den sicherheitsrelevanten Fehler missbrauchen, um Schadcode [6] einzuschleusen und auszuführen. Damals waren jedoch Aktualisierungen bereits zeitnah verfügbar.
Ergänzt, dass das untgz-Tool zu von Benutzern beigesteuerten Werkzeugen im contrib-Ordner gehören. Sie erhalten damit keinen Support, werden aber nicht unbedingt mit den zlib-Bilbliothek-Paketen ausgeliefert.
URL dieses Artikels:
https://www.heise.de/-11133774
Links in diesem Artikel:
[1] https://seclists.org/fulldisclosure/2026/Jan/3
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-22184
[3] https://www.vulncheck.com/advisories/zlib-untgz-global-buffer-overflow-in-tgzfname
[4] https://github.com/madler/zlib
[5] https://github.com/madler/zlib/issues/1142
[6] https://www.heise.de/news/Kritische-Luecke-in-zlib-Bibliothek-ermoeglicht-Codeschmuggel-7250044.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Shutterstock/chanpipat)
In MyAsus klafft eine als hochriskant eingestufte Sicherheitslücke, die das Ausweiten der Rechte erlaubt. EIn Update steht bereit.
In dem Support-Tool MyAsus für Rechner des Herstellers Asus klafft eine als hochriskant bewertete Sicherheitslücke. Sie ermöglicht Angreifern, dem Werkzeug beliebigen Code unterzujubeln, der mit den Rechten von MyAsus zur Ausführung gelangt – womit sie also ihre Rechte im System ausweiten können.
In der Schwachstellenbeschreibung erklärt Asus [1], dass eine Schwachstelle im „AsusSoftwareManagerAgent“ des Typs „nicht kontrollierter DLL-Ladepfad“ vorliegt. Lokale Angreifer können die App dazu bringen, eine manipulierte DLL aus einem von den Angreifern kontrollierten Ort zu laden, was zur Ausführung von beliebigem Code führt (CVE-2025-12793, CVSS4 8.5, Risiko „hoch“). Das Support-Werkzeug MyAsus ist auf diversen Rechnern von Asus standardmäßig vorinstalliert.
Asus hat auf der Webseite [2] mit Sicherheitsmitteilungen auch den neuen Eintrag für MyAsus ergänzt. Demnach steht MyAsus für alle Asus-PCs von Desktops, Laptops, über NUCs bis hin zu All-in-One-PCs zum Download bereit. Die Fehlerkorrekturen sind ab Version 4.0.52.0 für x64-CPUs und 4.2.50.0 für ARM-Prozessoren in MyAsus enthalten.
Die aktuelle Version lässt sich auf der Asus-Webseite herunterladen [3]. Die verweist jedoch auf den Microsoft-Store, der die Installation [4] dann auch passend zur Plattform vornimmt und über den Aktualisierungen verteilt werden können. Asus erklärt zudem in der Sicherheitsmitteilung, dass das Öffnen des MyAsus-Tools mit aktiver Internetverbindung zum Anbieten der Aktualisierung führen sollte.
Bereits Ende November fiel Asus mit einer hochriskanten Sicherheitslücke in MyAsus [5] auf. Auch da handelte es sich um eine Schwachstelle, die Angreifern das Ausweiten ihrer Rechte im System ermöglicht. Sie hat sich jedoch im Wiederherstellungsmechanismus des Asus System Control Interface befunden.
URL dieses Artikels:
https://www.heise.de/-11132979
Links in diesem Artikel:
[1] https://nvd.nist.gov/vuln/detail/CVE-2025-12793
[2] https://www.asus.com/security-advisory
[3] https://www.asus.com/de/support/myasus-deeplink/
[4] https://www.microsoft.com/en-us/p/myasus/9n7r5s6b0zzh?source=lp&activetab=pivot:overviewtab
[5] https://www.heise.de/news/Asus-stopft-hochriskante-Rechteausweitungsluecke-in-MyAsus-11090371.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: yllyso/Shutterstock.com)
Jeder der über dreißig Millionen Kunden erhält 50.000 Won, etwa 30 Euro. Verbraucherschützer warnen: Coupang kaufe sich so von weiteren Ansprüchen frei.
Das südkoreanische E-Commerce-Unternehmen nimmt fast zwei Billionen Won in die Hand, um seine Kunden für die Auswirkungen eines Datenlecks zu entschädigen – umgerechnet etwa eine Milliarde Euro. Ab Mitte Januar erhalten alle 33 Millionen Kunden des Konzerns Gutscheine, die jedoch an Bedingungen geknüpft sind. Der Verursacher des Vorfalls, ein ehemaliger Mitarbeiter des Konzerns, hatte auf Millionen Datensätze zugegriffen und tausende Zugangscodes aufbewahrt.
Die Daten kamen bereits im Juni 2025 abhanden, als der Ex-Mitarbeiter Kundendaten wie Namen, E-Mail- und Lieferadressen und die Bestellhistorie der Coupang-Kunden abgriff. Er hatte sich mittels eines gestohlenen internen Sicherheits-Tokens Zugriff auf die Daten verschafft. Der Täter bewahrte sie jedoch nicht auf – lediglich mehrere Tausend Zugangscodes für die Haustüren der Coupang-Kunden speicherte er. Wie Coupang berichtet [1], entsorgte der Leaker panisch seinen Laptop im Fluss (stilecht in einer Stofftasche mit Coupang-Logo), übergab jedoch einen PC nebst Datenspeichern den Ermittlern.
(Bild: Coupang)
Kurios: Nicht koreanische Strafverfolger fanden den Mann, beschlagnahmten seine Geräte und analysierten sie, sondern Coupang spielte selbst Detektiv. Das sei jedoch keine „Privatermittlung“ gewesen, sondern in enger Absprache mit der koreanischen Regierung passiert, so der Konzern. Man habe sich zudem für forensische Untersuchungen der Dienste dreier „weltweiter Top-Cybersicherheitsfirmen“ bedient, nämlich Google Mandiant, Palo Alto Networks und Ernst & Young (EY). Letztere kassierten gegen den Insolvenzverwalter der Wirecard AG kürzlich eine Schlappe vor dem Bundesgerichtshof [2].
Der Coupang-Geschäftsführer trat im Dezember zurück und übernahm damit die Verantwortung für den Vorfall. Alle Coupang-Kunden waren bereits Ende November über das Leck informiert worden und erhalten nun eine Entschädigung. Die Interims-Geschäftsführung greift tief ins Konzernsäckel und offeriert jedem der 33 Millionen Kunden Gutscheine im Gesamtwert von 50.000 Won (ca. 29,50 Euro).
Allerdings gibt es einen Haken an der scheinbar großzügigen Geste. Die Gutscheine gelten nicht für das gesamte Angebot an Waren und Dienstleistungen, sondern sind viergeteilt: Geschädigte können für je 5000 Won (ca. 2,95 Euro) im Coupang-Marktplatz und bei Coupang Eats einkaufen, je 20.000 Won (etwa 11,83 Euro) entfallen auf die Reisesparte „Coupang Travel“ und R.LUX, Coupangs Beauty- und Luxusshopping-App.
Genau für diese Stückelung kritisieren Anwälte den Konzern. Sie erzwinge vier separate Bestellungen für die volle Entschädigungssumme und befördere somit unnötigen Konsum. Zudem versuche Coupang, die finanzielle Belastung zu drücken, indem er lediglich Konsumgutscheine statt einer geldwerten Entschädigung ausgebe.
Besonders schwer wiege jedoch, zitiert die Zeitung Chosun Daily einen Opferanwalt [3], dass eine Klausel in den Gutscheinbedingungen weitere Ansprüche der Geschädigten ausschließe. So bleibe diesen etwa durch das „non-litigation agreement“ in den Bedingungen die Beteiligung an Schadenersatzklagen verschlossen. Ebensolche planen Anwaltskanzleien jedoch gemeinsam mit Betroffenen – und raten daher von einer Annahme der Gutscheine ab.
Das hierzulande fast unbekannte Unternehmen Coupang genießt in Südkorea einen Amazon-ähnlichen Status und offeriert neben Onlineshopping mit Blitzlieferung auch Videostreaming- und Essenslieferdienste. Mit seinen diversen Unternehmungen erwirtschaftet der Konzern hohe Umsätze: Im Geschäftsjahr 2024 waren es mehr als dreißig Milliarden US-Dollar. Doch nicht nur wegen des jüngsten Datenlecks, sondern auch wegen seiner Geschäftspraktiken steht das Unternehmen in der Kritik.
Das koreanische Arbeitsministerium kündigte am 7. Januar an [4], man untersuche mit einer Arbeitsgruppe Vorwürfe illegaler Entlassungen und der Verschleierung von Arbeitsunfällen. Mehrere Mitarbeiter der Coupang-Logistiksparte waren vergangenes Jahr zu Tode gekommen [5].
Kunden ergreifen zudem offenbar in Scharen die Flucht und bringen Coupangs Partner in die Bredouille. Vertreter der Gastronomiebranche und selbstständige Händler, die auf der Plattform des Konzerns ihre Produkte verkaufen, beklagten infolge des Datenlecks massive Umsatzeinbrüche und beklagten die ihrer Meinung nach mangelhafte Reaktion des Konzerns. Sie litten zudem unter hohem Preisdruck, zitiert Chosun [6] den Sprecher einer Händlerorganisation. Das sei „keine Innovation, sondern wirtschaftlicher Mord.“
In der viertgrößten Wirtschaftsnation Asiens gab es im vergangenen Jahr zahlreiche Cyberangriffe und Datenlecks, darunter eines im Regierungsnetzwerk Onnara. Es war durch einen Artikel im US-Hackermagazin Phrack [7] ans Licht gekommen – die ganze Geschichte präsentierten zwei heise-Redakteure auf dem 39C3 [8].
URL dieses Artikels:
https://www.heise.de/-11132576
Links in diesem Artikel:
[1] https://www.aboutcoupang.com/English/news/news-details/2025/update-on-coupang-korea-cybersecurity-incident/
[2] https://www.heise.de/news/Wirecard-Skandal-Wirtschaftspruefer-EY-muss-laut-BGH-alle-Unterlagen-offenlegen-11114231.html
[3] https://www.chosun.com/english/national-en/2025/12/31/6W6XCPREBRCIVOBZGITSUZ5XKM/
[4] https://www.moel.go.kr/news/enews/report/enewsView.do?news_seq=18829
[5] https://www.koreatimes.co.kr/business/companies/20251125/workplace-deaths-becoming-persistent-issue-at-coupang
[6] https://biz.chosun.com/distribution/channel/2026/01/07/SIA3UIHAVRALHF6HYFLIIYSFN4/
[7] https://www.heise.de/news/Passwort-Folge-42-Phrack-ein-Hackermagazin-wird-40-10699354.html
[8] https://media.ccc.de/v/39c3-apt-down-and-the-mystery-of-the-burning-data-centers
[9] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[10] mailto:cku@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Eine aktuelle Phishing-Welle behauptet Abweichungen bei „Krypto-Angaben“ beim Bundeszentralamt für Steuern.
Bei einer aktuellen Phishing [1]-Masche geben die Betrugs-E-Mails vor, vom Bundeszentralamt für Steuern zu stammen. Es seien „Abweichungen bei Krypto-Angaben festgestellt“ worden, heißt es darin.
Das Schreiben versucht, bei den Empfängern Druck aufzubauen. „Dieses Schreiben dient der Information über eine verpflichtende Maßnahme im Zusammenhang mit Ihrer Steuererklärung und Ihre Krypto-Vermögenswerte“, schreiben die Phisher in nicht ganz sauberem Deutsch. Demnach seien „Krypto-Dienstleister verpflichtet, steuerrelevante Daten an die Finanzbehörden zu melden. Die gemeldeten Informationen werden künftig automatisiert mit Ihren Angaben abgeglichen.“
Das steht tatsächlich in der EU-Richtlinie mit dem Namen DAC 8, deren Umsetzung in Deutschland am 19.12.2025 beschlossen [2] wurde und die damit Heiligabend des vergangenen Jahres in Kraft getreten ist. Das hat noch keine größeren Kreise gezogen, könnte jetzt jedoch für Verunsicherung bei Krypto-Asset-Inhabern sorgen.
Die zu meldenden Daten umfassen laut Phishing-Mail „Identitätsdaten von Steuerpflichtigen, Krypto-Bestände und Wallets, Transaktionen, Übertragungen und Veräußerungen“. Die Betrüger schreiben weiter: „Um steuerliche Unstimmigkeiten, Prüfungen oder Sanktionen zu vermeiden, ist eine Überprüfung Ihrer Krypto-Konten innerhalb von 5 Werkstage erforderlich“ – der sehr kurze Zeitrahmen soll den Druck erhöhen. Empfänger müssten sich daher bei „Mein Elster“ mit ihrem Elster-Zertifikat anmelden und „Krypto-Wallets oder Exchange-Konten gemäß den Anweisungen“ verknüpfen. Darauf folgt eine Schaltfläche „Zur Datenüberprüfung“, die auf die eigentliche Phishing-Seite umleitet – auf Mobil-Browsern, mit Desktop-Browser-Kennung erfolgte eine Umleitung auf web.de. Das soll Malware-Analysten die Arbeit erschweren.
Die Betrüger versuchen, noch mehr Druck aufzubauen und so potenzielle Opfer zum Handeln zu bringen: „Bei Abweichungen zwischen gemeldeten und erklärten Daten handelt es sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50.000 Euro geahndet werden kann“, erörtern sie weiter. „Steuerhinterziehung ist hingegen als Straftatbestand eingestuft und kann mit einer Freiheitsstrafe geahndet werden“, schließt der Text der Phishing-Mail ab.
Es gibt mehrere Indizien, dass es sich um keine echte Mail von der Steuerverwaltung handelt. Der Absender zeigt zwar einen passenden Namen an, die Mail-Adresse selbst hat jedoch überhaupt nichts mit Steuern zu tun und liegt nicht einmal auf einer deutschen Domain. Der Aktions-Knopf leitet auf eine verkürzte, kryptische URL und nicht auf mit dem Elster-System verbundene Domains. Auch die kleineren Rechtschreibfehler sind ein weiteres Indiz. Empfänger sollten diese Mails daher einfach löschen und ignorieren.
Das Bundeszentralamt für Steuern muss des Öfteren für derartige Phishing-Versuche herhalten. Im vergangenen Mai forderten Betrüger etwa angeblich im Namen der Behörde auf, Mahngebühren [3] für verspätete Steuererklärungen zu zahlen.
URL dieses Artikels:
https://www.heise.de/-11132880
Links in diesem Artikel:
[1] https://www.heise.de/thema/Phishing
[2] https://dip.bundestag.de/vorgang/gesetz-zur-umsetzung-der-richtlinie-eu-2023-2226/324801
[3] https://www.heise.de/news/Betrueger-senden-E-Mails-im-Namen-der-Steuerverwaltung-10370325.html
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: TimmyTimTim/Shutterstock.com)
In der UniFi Protect Application können Angreifer Schwachstellen für unbefugten Zugriff auf Kameras und DoS-Attacken missbrauchen.
Ubiquiti warnt vor Sicherheitslücken in der UniFi Protect Application. Die Schwachstellen können Angreifern ermöglichen, unbefugt auf UniFi Protect-Kameras zuzugreifen oder die UniFi Protect Application zum Neustart zu bringen. Aktualisierte Software steht bereit, die die Fehler ausbessert.
In einer Sicherheitsmitteilung erklärt Ubiquiti [1], dass zwei Sicherheitslücken in der UniFi Protect Application klaffen. Aufgrund einer Schwachstelle im Discovery-Protokoll in der UniFi Protect Application können Angreifer aus dem angrenzenden Netzwerk unbefugten Zugriff auf UniFi Protect-Kameras erlangen (CVE-2026-21633 [2], CVSS 8.8, Risiko „hoch“). Details zur Lücke und wie Angriffe darauf aussehen könnten, nennt Ubiquiti jedoch nicht. Bösartige Akteure können zudem aus dem benachbarten Netzwerk heraus das Discovery-Protokoll der UniFi Protect Application überfluten und einen Neustart der App provozieren (CVE-2026-21634 [3], CVSS 6.5, Risiko „mittel“). Auch hier fehlen weitergehende Informationen, die Admins helfen würden, Angriffsversuche zu erkennen.
Beide Schwachstellen hat Trend Micros Zero-Day-Initiative (ZDI) entdeckt und gemeldet. Ubiquiti hat die Aktualisierung auf UniFi Protect Application 6.2.72 veröffentlicht, die die sicherheitsrelevanten Fehler korrigieren soll. Die Übersicht über die Verbesserungen und Fehlerkorrekturen in der Version 6.2.72 [4] nennt jedoch bislang keine der damit geschlossenen Sicherheitslücken. IT-Verwalter, die daher bislang auf das Update verzichtet haben, sollten das nun zügig nachholen – immerhin verpasst die erste Schwachstelle die Einstufung als kritisches Risiko nur sehr knapp.
Ende Oktober hatte Ubiquiti sogar eine Sicherheitslücke mit der Risikoeinstufung „kritisch“ in UniFi Access schließen müssen. Die Auswirkungen waren aufgrund der nebulösen Beschreibung unklar, jedoch ermöglichte das unbefugten Zugriff auf eine API [5].
URL dieses Artikels:
https://www.heise.de/-11131097
Links in diesem Artikel:
[1] https://community.ui.com/releases/Security-Advisory-Bulletin-058-058/6922ff20-8cd7-4724-8d8c-676458a2d0f9
[2] https://www.cve.org/CVERecord?id=CVE-2026-21633
[3] https://www.cve.org/CVERecord?id=CVE-2026-21634
[4] https://community.ui.com/releases/UniFi-Protect-Application-6-2-72/b45268b0-bee2-41c7-b409-8e2d5c0ca47c
[5] https://www.heise.de/news/Ubiquiti-UniFi-Access-Angreifer-koennen-sich-unbefugt-Zugriff-verschaffen-10900318.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Primakov/Shutterstock.com)
Androidgeräte sind für eine Zero-Click-Attacke anfällig. Dieses Sicherheitsproblem wurde nun gelöst.
Wenn Angreifer Opfern unter Android eine bestimmte präparierte Sounddatei unterschieben, kann es zu Fehlern und Abstürzen kommen. Schon der Empfang einer solchen Datei kann zu Problemen führen, weil Android Audio-Nachrichten zur Transkription lokal dekodiert und damit eine Zero-Click-Attacke möglich ist. Diese Lücke ist schon seit Oktober vergangenen Jahres bekannt und wurde unter anderem bereits in Windows geschlossen. Nun gibt es das Sicherheitsupdate auch für Android-Geräte.
Die Schwachstelle (CVE-2025-54957 „mittel“) betrifft die Verarbeitung von Dolby-Digital-Plus-Bitstreams. Manipulieren Angreifer solche Sounddateien, kommt es zu einem Speicherfehler, was zu Abstürzen führt. Oft kann in so einem Kontext auch Schadcode auf Systeme gelangen. Ob das in diesem Fall auch klappt, ist bislang unklar. Es gibt noch keine Berichte, dass Angreifer die Lücke bereits ausnutzen.
Die Schwachstelle haben Sicherheitsforscher von Googles Project Zero entdeckt. Seitdem gibt es auch Sicherheitsupdates für Windows und andere [1]. Weil Android Audio-Nachrichten zur Transkription lokal dekodiert, kann es zu einer Zero-Click-Attacke kommen. Das bedeutet, dass der alleinige Empfang einer präparierten Audiodatei ohne Zutun eines Opfers Schaden anrichten kann. Das ist offensichtlich auch der Grund, warum die Android-Entwickler die Lücke in einer Warnmeldung als „kritisch“ einstufen [2].
Wer ein noch im Support befindliches Android-Gerät besitzt, sollte sicherstellen, dass das aktuelle Patch-Level 2026-01-05 installiert ist. Das kann man in den Einstellungen prüfen. Neben Google stellt unter anderem auch Samsung (siehe Kasten) monatlich Sicherheitsupdates für ausgewählte Geräte zum Download bereit.
Seit Juli 2025 schließt Google monatlich nur noch besonders bedrohliche Sicherheitslücken [3]. Die verbleibenden Patches werden quartalsweise bereitgestellt.
URL dieses Artikels:
https://www.heise.de/-11130450
Links in diesem Artikel:
[1] https://www.heise.de/news/Sicherheitsleck-in-Dolby-Digital-Plus-Decoder-in-Android-iOS-macOS-und-Windows-10793034.html
[2] https://source.android.com/docs/security/bulletin/2026/2026-01-01
[3] https://www.heise.de/news/Schlecht-fuer-Custom-ROMs-Google-aendert-Android-Sicherheitspatch-Strategie-10645581.html
[4] https://support.fairphone.com/hc/en-us/articles/360048139032-Fairphone-OS-releases-for-FP3-FP3-
[5] https://support.fairphone.com/hc/en-us/articles/4405858220945-Fairphone-4-OS-Release-Notes
[6] https://consumer.huawei.com/de/support/bulletin/
[7] https://de-de.support.motorola.com/app/software-security-update/g_id/7112
[8] https://www.hmd.com/en_int/security-updates
[9] https://security.oppo.com/en/mend
[10] https://security.samsungmobile.com/securityUpdate.smsb
[11] https://xpericheck.com/
[12] https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices
[13] https://security.oneplus.com/en/home
[14] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[15] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: MheePanda/Shutterstock.com)
Hinweise gab es seit dem Sommer – jetzt räumt Calumet eine „mögliche Datenschutzverletzung“ ein. Betroffene werden informiert.
Die auf Fotografie spezialisierte Online-Plattform des Händlers Calumet ist Opfer eines IT-Vorfalls [1] geworden. Hinweise darauf gab es bereits seit dem Sommer vergangenen Jahres, nun räumt Calumet den Vorfall jedoch ein.
Auf der Webseite erklärt Calumet [2] den IT-Vorfall. „Wir möchten darüber informieren, dass ein unbefugter Dritter kurzzeitig eingeschränkten Zugriff auf ein von uns genutztes System eines Drittanbieters erlangt hat. Es besteht daher die Möglichkeit, dass einige Kontaktdaten von einem Datenleck betroffen waren“, teilt das Unternehmen mit. Die Lücke sei demnach inzwischen geschlossen. Es seien „weder sensible Daten wie Passwörter, Kreditkartendaten oder Kaufinformationen noch Kommunikationsinhalte betroffen“. Calumet arbeite mit der zuständigen Hamburger Datenschutzbehörde zusammen.
Calumet habe die Sicherheitsmaßnahmen überprüfen lassen und „zusätzlich verstärkt, um alle Daten zukünftig noch besser zu schützen“. Betroffene, von denen Daten bei dem Vorfall abgeflossen sind, will das Unternehmen bis zum 10. Januar persönlich kontaktieren, über die dort hinterlegte E-Mail-Adresse.
Bereits im Sommer gab es Hinweise, dass es bei Calumet zu einem Datenabfluss gekommen sein muss. Nur dort genutzte Wegwerf-E-Mail-Adressen erhielten plötzlich Spam-Nachrichten. Das ist jedoch nur ein loses Indiz, da Cyberkriminelle auch über einen Infostealer oder durch schlichtes Ausprobieren an die E-Mail-Adresse gelangt sein könnten. Wie Calumet nun angibt, gehe es „vor allem um die E-Mail-Adresse, die du für deine Anfrage an uns verwendet hast, und um deinen Namen, sofern du ihn angegeben hast.“ In der angekündigten E-Mail an Betroffene will Calumet genau benennen, welche persönlichen Daten im Einzelfall betroffen sind.
Calumet rät Betroffenen, vorerst nichts weiter zu unternehmen. Sie sollen jedoch wachsam sein bei verdächtigen E-Mails oder Telefonanrufen, bei diesen könnte es sich um Betrugsversuche wie Phishing [3] handeln.
URL dieses Artikels:
https://www.heise.de/-11130895
Links in diesem Artikel:
[1] https://www.heise.de/thema/Cyberangriff
[2] https://www.calumet.de/company/datenschutzinformation
[3] https://www.heise.de/thema/Phishing
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Tatiana Popova/Shutterstock.com)
Stimmten die Voraussetzungen, können Angreifer Netzwerkspeicher von Qnap mit weitreichenden Folgen attackieren.
Mehrere Sicherheitslücken gefährden NAS-Systeme von Qnap. Sicherheitspatches stehen zum Download bereit. In vielen Fällen sind Attacken aber nicht ohne Weiteres möglich.
Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht [1], betreffen die Schwachstellen License Center, MARS, Qfiling, Qfinder Pro, Qsync, QuMagie, QVPN Device Client, QTS und QuTS hero. Hinweise zu den Sicherheitsupdates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.
Entfernte Angreifer können etwa an einer Schwachstelle (CVE-2025-59384 „hoch“) in Qfiling ansetzen, um unter anderem Systemdaten einzusehen. Die NAS-Betriebssysteme QTS und QuTS hero sind über mehrere Lücken angreifbar. So können Angreifer etwa NAS-Systeme über DoS-Attacken lahmlegen oder auf eigentlich geschützte, geheime Daten zugreifen. Dafür müssen Angreifer aber bereits die Kontrolle über einen Admin-Account erlangt haben. Eine offizielle Einstufung des Bedrohungsgrads dieser Lücken auf der NIST-Website steht derzeit offensichtlich noch aus. Das CERT Bund [2] vom Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Schweregrad als „hoch“ ein.
Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Unklar ist derzeit auch, woran man bereits attackierte Instanzen erkennen kann.
Weiterführende Informationen zu Sicherheitspatches:
URL dieses Artikels:
https://www.heise.de/-11129647
Links in diesem Artikel:
[1] https://www.qnap.com/de-de/security-advisories
[2] https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2026-0011
[3] https://www.qnap.com/de-de/security-advisory/qsa-25-49
[4] https://www.qnap.com/de-de/security-advisory/qsa-25-50
[5] https://www.qnap.com/de-de/security-advisory/qsa-25-51
[6] https://www.qnap.com/de-de/security-advisory/qsa-25-52
[7] https://www.qnap.com/de-de/security-advisory/qsa-25-53
[8] https://www.qnap.com/de-de/security-advisory/qsa-25-54
[9] https://www.qnap.com/de-de/security-advisory/qsa-25-55
[10] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[11] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Dilok Klaisataporn/Shutterstock.com)
Viele MongoDB-Instanzen sind oder waren potenziell für MongoBleed anfällig. Ein Tool hilft bei der Server-Analyse auf Angriffsspuren.
Die hochriskante Sicherheitslücke in der Datenbank MongoDB [1], die um Weihnachten herum bekannt und seitdem bereits angegriffen wurde, lässt sich mit aktualisierter Software oder Konfigurationsänderungen schließen. Zu Silvester waren jedoch noch zigtausend potenziell verwundbare Instanzen im Netz [2] erreichbar. Die Untersuchung, ob die eigenen Server bereits angegriffen und möglicherweise gar kompromittiert wurden, war bislang etwas mühselig. Das ändert ein kleines Tool von Florian Roth namens „MongoBleed Detector“.
MongoBleed Detector steht auf Github [3] bereit und wird vom Autor weitergepflegt. Nach dem Aktualisieren des MongoDB-Servers empfiehlt sich die Untersuchung der Datenbank damit, um möglichen Missbrauch der MongoBleed-Schwachstelle CVE-2025-14847 aufzuspüren.
Das Tool kennt dafür mehrere Modi. Neben einer Log-Korrelation etwa durch Verbindungsereignisse und fehlenden Meta-Daten dazu (was lediglich mit einem bestimmten Proof-of-Concept-Exploit so stattfindet) können Admins damit Schnappschüsse mittels serverStatus.asserts untersuchen. Das haben IT-Forscher als verlässlichen Indikator [4] für Angriffsversuche aufgrund eines um mehrere Größenordnungen höheren Werts für „user“ ausgemacht. Die dort ebenfalls vorgestellte Analyse auf Basis des Full-Time Diagnostic Data Capture (FTDC) MongoDB-Subsystems lässt sich schließlich als dritte Erkennungsmethode von MongoBleed Detector nutzen.
Der MongoBleed Detector analysiert lokale MongoDB-Daten, kann jedoch mit einer Datei mit Hosts mit einem weiteren Script mongobleed-remote.py auch auf entfernte Systeme mittels SSH zugreifen und diese untersuchen. Auf der Github-Seite des Projekts erklärt Roth die Funktionen und Optionen ausführlich.
Florian Roth ist in IT-Sicherheitskreisen kein Unbekannter. Er programmiert auch das Tool „Thor“, mit dem sich Systeme auf Hinweise auf Kompromittierung (Indicators of Compromise, IOCs) untersuchen lassen. Das Analysewerkzeug ist auch in der „Thor Lite“-Version [5] in c’t-Desinfec’t enthalten.
URL dieses Artikels:
https://www.heise.de/-11129291
Links in diesem Artikel:
[1] https://www.heise.de/news/MongoDB-kritische-Sicherheitsluecke-in-NoSQL-Datenbank-11124891.html
[2] https://www.heise.de/news/MongoBleed-Mehr-als-11-500-verwundbare-MongoDB-Instanzen-in-Deutschland-11126702.html
[3] https://github.com/Neo23x0/mongobleed-detector
[4] https://medium.com/@unf01d/a-different-mongobleed-perspective-5f08b4bf887a
[5] https://www.nextron-systems.com/thor-lite/
[6] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Gorodenkoff/Shutterstock.com)
Derzeit haben es Angreifer auf eine fünf Jahre alte Sicherheitslücke in Fortinet-Firewalls abgesehen. Die Lücken in ColdFusion sind ebenfalls älter.
Aufgrund von zurzeit laufenden Attacken sollten Admins ihre Adobe-ColdFusion-Instanzen und ihre Fortinet-Firewalls auf den aktuellen Stand bringen. Die ausgenutzten Sicherheitslücken sind in beiden Fällen bereits seit mehreren Jahren bekannt, aber offensichtlich wurden die Sicherheitspatches bislang nicht flächendeckend installiert. Was Angreifer nach erfolgreichen Attacken konkret anstellen, ist derzeit nicht bekannt.
Die Fortinet-Lücke (CVE-2020-12812 „kritisch“) ist seit Juli 2020 bekannt. Im April 2021 gab es erste Berichte zu Attacken [1]. Das FBI und die CISA vermuteten hinter den Angriffen staatlich geförderte Cybercrimegruppen [2]. Nun hat Fortinet einen neuen Beitrag zur Schwachstelle veröffentlicht und warnt vor erneuten Angriffen. [3]
Unter bestimmten Bedienungen können Angreifer die Zwei-Faktor-Authentifizierung (2FA) umgehen und sich so Zugriff auf Instanzen verschaffen. In der Warnmeldung listen die Entwickler bedrohte Konfigurationen auf. Außerdem finden Admins dort Hinweise, an denen sie bereits erfolgreich attackierte Systeme erkennen können. Dagegen sind die FortiOS-Versionen 6.0.10, 6.2.4 und 6.4.1 abgesichert.
In welchem Umfang die Angriffe ablaufen und wer dahintersteckt, ist derzeit unklar. Sicherheitsforscher von Shadowserver zeigen auf, dass derzeit noch mehr als 10.000 ungepatchte Instanzen über das Internet erreichbar sind.
Sicherheitsforscher von Greynoise haben in einem Beitrag [4] Attacken auf Adobe ColdFusion dokumentiert. Dabei setzen die Angreifer an verschiedenen Lücken an, die größtenteils aus 2023 stammen. Im schlimmsten Fall führen Angreifer ohne vorherige Authentifizierung Schadcode aus der Ferne aus.
In dem Beitrag finden Admins konkrete Hinweise wie IP-Adressen, an denen sie attackierte Instanzen erkennen können. Admins sollten sicherstellen, dass ColdFusion auf dem aktuellen Stand ist. Der Großteil der attackierten Systeme findet sich in den USA. In Deutschland haben die Sicherheitsforscher eigenen Angaben zufolge 100 Attacken dokumentiert.
Siehe auch:
URL dieses Artikels:
https://www.heise.de/-11128770
Links in diesem Artikel:
[1] https://www.heise.de/news/Fortinet-Angreifer-nutzen-kritische-Schwachstellen-im-VPN-fuer-kuenftige-Attacken-6005038.html
[2] https://www.ic3.gov/CSA/2021/210402.pdf
[3] https://www.fortinet.com/blog/psirt-blogs/product-security-advisory-and-analysis-observed-abuse-of-fg-ir-19-283
[4] https://www.labs.greynoise.io/grimoire/2025-12-26-coldfusion/
[5] https://www.heise.de/download/product/coldfusion-36003?wt_mc=intern.red.download.tickermeldung.ho.link.link
[6] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[7] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Sashkin/Shutterstock.com)
Im Plex Media Server klaffen Sicherheitslecks, durch die Angreifer sich unbefugt Zugriff verschaffen können. Updates stehen aus.
Im Plesk Media Server hatten die Entwickler im August eine Sicherheitslücke geschlossen. Kurz darauf gemeldete Zugriffssicherheitslecks haben sie offenbar jedoch noch nicht ausgebessert. Nutzerinnen und Nutzer sollten daher die Zugriffsmöglichkeiten sicherheitshalber einschränken.
In den am Wochenende veröffentlichten Schwachstellenmeldungen weist der Entwickler Luis Finke [1] darauf hin, dass die Authentifizierungsschwachstelle CVE-2025-34158 (CVSS 8.5, Risiko „hoch“) zwar mit Version 1.42.1 vom Plex Media Server im August geschlossen wurde [2]. Jedoch stehen flankierende Sicherheitslücken in der Zugriffstoken-Verwaltung weiterhin offen und stellen ein Risiko dar. Sie ermöglichen persistenten unautorisierten Zugriff, Rechteausweitung und erzeugen Probleme beim Zurückziehen kompromittierter Zugangsdaten.
Am schwersten wiegt demnach eine Lücke in Plex Media Server bis einschließlich der aktuellen Version 1.42.2.10156 vom September, durch die Angreifer sich mit einem temporären Zugangstoken durch einen Aufruf von „/myplex/account“ einen permanenten Zugangstoken verschaffen können (CVE-2025-69414 [3], CVSS 8.5, Risiko „hoch“). Ein ähnlicher Aufruf, jedoch mit einem Geräte-Token, prüft nicht korrekt, ob das Gerät überhaupt mit einem Konto verknüpft ist (CVE-2025-69415 [4], CVSS 7.1, Risiko „hoch“).
Zwei weitere Sicherheitslücken betreffen das plex.tv-Backend bis einschließlich der Version vom 31.12.2025. Ein nicht-Server-Geräte-Token kann andere Token aus „clients.plex.tv/devices.xml“ abgreifen, die für anderweitige Zugriffe vorgesehen sind (CVE-2025-69416 [5], CVSS 5.0, Risiko „mittel“). Selbiges gelingt über einen „shared_servers“-API-Endpunkt (CVE-2025-69417 [6], CVSS 5.0, Risiko „mittel“).
Da noch keine Aktualisierungen bereitstehen, die die teils hochriskanten Sicherheitslücken stopfen, sollten Plex-Nutzerinnen und -Nutzer die Zugriffe auf den Server auf vertrauenswürdige Adressen beschränken.
URL dieses Artikels:
https://www.heise.de/-11128582
Links in diesem Artikel:
[1] https://github.com/lufinkey/vulnerability-research/blob/main/CVE-2025-34158/README.md
[2] https://www.heise.de/news/Plex-Mediaserver-Entwickler-raten-zu-zuegigem-Sicherheitsupdate-10538755.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2025-69414
[4] https://nvd.nist.gov/vuln/detail/CVE-2025-69415
[5] https://nvd.nist.gov/vuln/detail/CVE-2025-69416
[6] https://nvd.nist.gov/vuln/detail/CVE-2025-69417
[7] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: The Länd)
Cyberangriff auf den Fan-Shop von Baden-Württemberg. Betrüger manipulierten die Bezahlseite, Kundendaten könnten betroffen sein.
Der Online-Shop des baden-württembergischen Staatsministeriums hat mit einem Cyberangriff zu kämpfen. Nach Angaben des Landes nutzten Angreifer im Zeitraum vom 27. bis 29. Dezember 2025 eine bislang unbekannte Sicherheitslücke im Shop-System von „THE LÄND“ aus. Der „Fänshop“ der Seite ist inzwischen offline. Das Staatsministerium hat nach eigenen Angaben unmittelbar reagiert, den Online-Shop abgeschaltet und Strafanzeige gestellt.
Wie ein Sprecher des Staatsministeriums auf Anfrage mitteilt, könnten die Angreifer „Zugriff auf Kundendaten wie Namen und E-Mail-Adressen erlangt haben“. Der Shop sei nicht nur kompromittiert, sondern aktiv manipuliert worden: „Zudem wurde eine manipulierte Bezahlseite eingerichtet, über die versucht wurde, Kreditkartendaten von Kundinnen und Kunden abzugreifen und Zahlungen einzuziehen.“
Nach bisherigem Kenntnisstand geht das Land von „einer niedrigen zweistelligen Zahl von geschädigten Personen“ aus. Eine abschließende Analyse laufe noch. Zwar seien im regulären Betrieb „grundsätzlich die Zahlungsmethoden Vorkasse (Überweisung) und PayPal“ vorgesehen, doch hätten die Angreifer auch bei eigentlich kostenlosen Artikeln wie den bekannten „Nett hier“-Aufklebern versucht, Kreditkartenzahlungen auszulösen. „Die tatsächlich abgebuchten Beträge lagen dabei deutlich über den im Bestellprozess ausgewiesenen Summen“, heißt es weiter.
Bei dem Shopsystem handelt es sich aller Wahrscheinlichkeit nach um eines von Gambio. Der Anbieter hatte am 30.12.2025 in einem Foreneintrag [1] ein „neues Security Update Paket veröffentlicht, dessen Installation wir allen Shopbetreibern dringend empfehlen". Die Lücke, die 25.000 Shops betreffen dürfte, wird als „kritisch“ eingestuft.
Kundinnen und Kunden wurden informiert, wie auch einem Beitrag auf Reddit [2] zu entnehmen ist. Betroffene sollen ihre Konto- und Kreditkartenabrechnungen sorgfältig prüfen und bei Auffälligkeiten umgehend reagieren. Hinweise zum Vorfall nimmt das Land per Mail an shop@thelaend.de entgegen. Die Ermittlungen und die forensische Aufarbeitung des Vorfalls dauern an.
URL dieses Artikels:
https://www.heise.de/-11127295
Links in diesem Artikel:
[1] https://www.gambio.de/forum/threads/wichtiges-security-update-2025-12-v1-0-0-fuer-alle-versionen-bis-gx5-v5-0-1-0.52593/
[2] https://www.reddit.com/r/de_EDV/s/ObAt3ZShyi
[3] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[4] mailto:mack@heise.de
Copyright © 2026 Heise Medien
(Bild: ESA)
Die ESA versichert, dass von einem „Cybersicherheitsproblem“ lediglich Server außerhalb des hauseigenen Netzwerks betroffen sind. Viel ist aber nicht bekannt.
Die Europäische Weltraumagentur ESA hat einen „Cybersicherheitsvorfall“ eingestanden, aber versichert, dass er lediglich Server „außerhalb des hauseigenen Netzwerks“ betroffen habe. So steht es in einem Beitrag auf dem Kurznachrichtendienst X, der noch vor dem Jahreswechsel veröffentlicht wurde. Das erfolgte als Reaktion auf die Behauptung eines Unbekannten, für eine Woche Zugriff auf Systeme der ESA gehabt zu haben, wie Bleeping Computer berichtet hatte. Demnach hat die Person schon vorige Woche erklärt, mehr als 200 Gigabyte an Daten abgegriffen zu haben und diese zum Verkauf angeboten. Dazu hat sich die ESA nicht geäußert.
Laut der Stellungnahme der ESA [1] hat die inzwischen durchgeführte Analyse ergeben, dass „nur eine sehr kleine Zahl von Servern“ betroffen war. Darauf hätten „nicht geheime“ Dokumente für die Zusammenarbeit mit der Wissenschaft gelegen. Alle relevanten Organisationen seien informiert worden, weitere Informationen würden folgen, „sobald diese verfügbar sind“. Laut Bleeping Computer [2]behauptet der angeblich Verantwortliche, unter anderem Quellcode, API- sowie Zugangstoken, Konfigurations- und SQL-Dateien sowie weitere Zugangsdaten erbeutet zu haben. Abgegriffen wurden diese demnach auf Jira- und Bitbucket-Servern.
Auch wenn die ESA nahelegt, dass die Cyberattacke nicht besonders schwerwiegend war, so ist der Vorfall doch mindestens unangenehm. Erst im Frühjahr hat die Weltraumagentur ein IT-Sicherheitszentrum eröffnet [3], das von zwei Standorten aus die „digitalen Vermögenswerte“ der ESA überwachen und schützen soll. Dabei geht es um „Satelliten im Weltraum bis hin zum weltweiten Netz Bodenstationen und Missionskontrollsystemen auf der Erde“, wie es damals hieß. Das Cyber Security Operations Centre (C-SOC) sollte auch als Antwort auf die stetig steigende Bedrohungslage verstanden werden.
URL dieses Artikels:
https://www.heise.de/-11126973
Links in diesem Artikel:
[1] https://x.com/esa/status/2005938460448715055
[2] https://www.bleepingcomputer.com/news/security/european-space-agency-confirms-breach-of-external-servers/
[3] https://www.heise.de/news/Cyber-Security-Operations-Center-ESA-will-mehr-IT-Sicherheit-10400120.html
[4] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[5] mailto:mho@heise.de
Copyright © 2026 Heise Medien
FreshRSS