[NEU] [mittel] Siemens SIPROTEC 5-Geräten: Schwachstelle ermöglicht Offenlegung von Informationen
technischer-sicherheitshinweise
[NEU] [hoch] Siemens SIMATIC S7 PLCs Web Server: Mehrere Schwachstellen ermöglichen Cross-Site Scripting
technischer-sicherheitshinweise
[UPDATE] [mittel] Linux Kernel: Mehrere Schwachstellen ermöglichen Denial of Service
technischer-sicherheitshinweise
[NEU] [mittel] Microsoft Dynamics 365 Customer Insights: Schwachstelle ermöglicht Privilegieneskalation
technischer-sicherheitshinweise
[NEU] [mittel] Budibase: Schwachstelle ermöglicht Offenlegung von Informationen
technischer-sicherheitshinweise
Node.js 25: Ausbrüche aus JavaScript-Sandbox vm2 vorstellbar
Die Sandbox-Komponente vm2 der Open-Source-JavaScript-Laufzeitumgebung Node.js ist mit bestimmten Einstellungen verwundbar.
Cyberkrieg: Medien zitieren Interna aus Russlands Geheimdienstausbildung
An einem Lehrstuhl einer Moskauer Universität lässt der Militärgeheimdienst GRU angeblich seinen Nachwuchs ausbilden. Mehrere Medien zitieren interne Dokumente.
„CallPhantom“: Android-App liefert falsche Daten anstatt Anrufprotokolle
Die Apps der „CallPhantom“-Kampagne versprechen, gegen Zahlung Anrufverlauf beliebiger Nummern zu liefern. Die Daten sind erfunden.
QLNX: Neuer Remote-Access-Trojaner zielt auf Linux-Entwickler
Hinter Quasar Linux (QLNX) steckt kein Betriebssystem, sondern ein Supply-Chain-Angriffstool, das sich nur schwer erkennen und entfernen lässt.
„Dirty Frag“: Linux-Lücken verschaffen root-Rechte
Weitere Lücken mit dem Namen „Dirty Frag“ ermöglichen die Rechteausweitung. Betroffen sind wohl alle Distributionen.
Dank KI: Im April so viele Firefox-Lücken geschlossen wie vorher in zwei Jahren
Mit einem großen Update und kleineren Patches hat Mozilla im April 423 Firefox-Lücken geschlossen. Noch vor kurzem waren es pro Monat immer etwa zwei Dutzend.
Ivanti EPMM: Update stopft bereits angegriffene Sicherheitslücken
Ivanti hat Sicherheitsupdates für den Endpoint Manager Mobile (EPMM) veröffentlicht. Sie schließen auch bereits attackierte Lücken.
Ende-zu-Ende-Verschlüsselung: Instagram deaktiviert Privatsphärenschutz
Metas Tochterunternehmen Instagram schaltet am 8. Mai die Ende-zu-Ende-Verschlüsselung für Direktnachrichten ab.
Urteil gegen die Apobank: Finanzinstitut haftet für Phishing-Schaden
Das Landgericht Berlin verpflichtet die Apobank zur Erstattung von über 200.000 Euro und fordert eine bessere Auswertung von IP-Adressen zur Betrugsprävention.
DNS-Probleme mit .de-Domains: DENIC liefert erste Erklärung
Fehlerhafte Signaturen haben am Mittwoch Ausfälle von .de-Domains verursacht. Die Verantwortlichen bei der DENIC haben jetzt Erklärungen geliefert.
Patchday: Kritische Schadcode-Lücke bedroht Android 14, 15 und 16
Schadcode kann durch ein fehlerhaftes Debugging-Modul auf Androidgeräte schlüpfen. Nun hat Google die kritische Schwachstelle geschlossen.
Daemon Tools: Mit Malware verseuchte Downloads
Offiziell signierte Daemon-Tools-Installer von der Herstellerseite bringen Malware mit. Offenbar durch einen Lieferkettenangriff.
PAN-OS-Lücke wird angegriffen, Updates erst in Wochen geplant
Palo Alto Networks warnt vor einer bereits angegriffenen kritischen Sicherheitslücke in PAN-OS. Updates kommen frühestens Mitte Mai.