Schwachstellen

Microsoft weitet sein Bug-Bounty-Programm deutlich aus und reagiert damit auf veränderte Angriffsrealitäten in Cloud- und KI-Umgebungen. Künftig sollen Sicherheitslücken standardmäßig als relevant gelten, selbst wenn sie nicht direkt im eigenen Code liegen.

Mit dem aktuellen Android-Sicherheitsbulletin für Dezember 2025 warnt Google vor einer ganzen Reihe teils kritischer Schwachstellen. Besonders brisant: Einige davon sollen bereits gezielt ausgenutzt werden. Nutzerinnen und Nutzer sollten daher zeitnah prüfen, ob ihr Gerät den aktuellen Patch-Stand erreicht hat.

Drei neu entdeckte Sicherheitslücken im weit verbreiteten Container-Tool runc könnten es Angreifern ermöglichen, aus isolierten Containern auszubrechen und Root-Zugriff auf Hostsysteme zu erlangen. Forscher von SUSE und das Sysdig Threat Research Team haben die Schwachstellen untersucht und empfehlen Gegenmaßnahmen.

Nach weltweiten Angriffen auf Microsofts SharePoint-Server durch eine Zero-Day-Schwachstelle namens "ToolShell" hat der Konzern nun kurzfristig Sicherheitsupdates bereitgestellt. Die Attacken, die bereits über 50 Organisationen betrafen, zeigen: Die bisherigen Patches reichten nicht aus. Bitdefender hat derweil Indicators of Compromise veröffentlicht, nach denen Admins Ausschau halten sollten.

Sicherheitslücken in OpenSSH gefährden verschlüsselte Verbindungen – Experten raten zu schnellem Update auf neue Version. Die beliebte Open-Source-Software wird weltweit millionenfach eingesetzt, um sensible Datenübertragungen und Fernwartungszugriffe abzusichern.

Thales hat einen neuen Dienst für Datensicherheit vorgestellt: Data Risk Intelligence. Der Ansatz entstand nach der Übernahme von Imperva im Dezember 2023 und kombiniert die Sicherheitsplattformen beider Unternehmen. Ziel ist es, Unternehmen bei der Bewältigung komplexer Datenrisiken in einer zunehmend vernetzten digitalen Infrastruktur zu unterstützen.

CodeSecure hat seine Binärcode-Analyse-Plattform CodeSentry aktualisiert. CodeSentry ermöglicht es Unternehmen, Sicherheitsschwachstellen im Code von Drittanbietern zu erkennen und somit ihre Software-Lieferkette abzusichern – auch dann, wenn kein Zugriff auf den Quellcode vorhanden ist. Die neue Version CodeSentry 6.1 bietet zusätzliche Funktionen für das Management der Software-Stücklisten.

Google hat sein "Cloud Vulnerability Reward Program" ins Leben gerufen, um Schwachstellen in seinen Clouddiensten proaktiv zu identifizieren und zu beheben. Das Programm richtet sich an White-Hat-Hacker, die potenzielle Sicherheitslücken in Produkten wie Google Kubernetes Engine, Google Compute Engine und weiteren Diensten aufdecken und melden. Je nach Ausmaß der gefundenen Einfallstore winken Belohnung von bis zu 100.000 US-Dollar.

Am 25. Juni 2024 hat Progress Software zwei neue Sicherheitslücken in MOVEit Transfer und MOVEit Gateway veröffentlicht. Die Schwachstellen CVE-2024-5806 und CVE-2024-5805 ermöglichen Angreifern, die SFTP-Authentifizierung zu umgehen und Zugang zu den Systemen zu erlangen.

Am 13. Februar 2024 veröffentlichte QNAP, ein Hersteller von Network-Attached-Storage-Systemen, ein Advisory, das mehrere Schwachstellen in seinen Betriebssystemen QTS, QuTS hero und QuTScloud aufdeckt.