Heise security
Mythos findet nur eine Sicherheitslücke in curl
Daniel Stenberg hat das Angebot angenommen, mit der Mythos-KI nach Schwachstellen in curl zu suchen. Eine Lücke hat er entdeckt.
SAP-Patchday: Kritische Sicherheitslücken erlauben unbefugte Anmeldung
SAP kümmert sich im Mai um 15 neue Sicherheitslücken. Zwei gelten als kritisch und erlauben die unbefugte Anmeldung oder SQL-Injection.
macOS 26.5, iOS 26.5 und Co.: Apple stopft zahlreiche Sicherheitslücken
Die gestern gelieferten Aktualisierungen sind wieder voll von sicherheitsrelevanten Fehlerbehebungen. User älterer macOS-Versionen warten auf ein neues Safari.
Pi-hole-Update schließt dnsmasq-Sicherheitslücken
Das Pi-hole-Projekt hat das Update auf FTL 6.6.2 veröffentlicht. Es schließt Lücken in dnsmasq. Andere Projekte dürften folgen.
Node.js: Abermals Ausbruch aus vm2-Sandbox möglich
Eine kritische Sicherheitslücke in der Node.js-Sandbox vm2 kann Schadcode passieren lassen. Ein Sicherheitspatch steht zum Download bereit.
Supply-Chain-Angriff auf TanStack: 42 Pakete kompromittiert
Zahlreiche TanStack-Pakete auf npm haben eine Supply-Chain-Attacke erlitten, offenbar im Rahmen der Angriffswelle „Mini Shai-Hulud“.
Infostealer auf KI-Plattform Hugging Face tarnt sich als OpenAI-Repository
Das Repository Open-OSS/privacy-filter enthielt einen Infostealer und wurde über 240.000 Mal heruntergeladen, bevor Hugging Face es entfernt hat.
Chrome: Wie privat ist die lokale KI in Googles Browser?
Die aktuelle Version des Browsers enthält ein lokales KI-Modell, das künftig nicht nur Daten herunterladen, sondern auch mit Googles Servern reden darf.
Anonymisierendes Linux Tails: Notfallupdate 7.7.3 fixt DirtyFrag-Lücke
Das anonymisierende Linux Tails ist als nächstes Notfallupdate in Version 7.7.3 erschienen. Es schließt die DirtyFrag-Lücke.
Von KI gefundene Zero-Day-Lücke: Google verhindert angeblich Cyberangriff
Seit Wochen wird davor gewarnt, dass böswillige Cyberakteure bald mit KI-Hilfe Sicherheitslücken finden und ausnutzen könnten. Jetzt ist es angeblich so weit.
RCS schließt zu iMessage auf: Apple stellt iOS 26.5 bereit
Die Betriebssysteme beseitigen in Version 26.5 mehrere Fehler. Apple beginnt endlich damit, das Messaging mit Android-Nutzern durchgehend zu verschlüsseln.
Microsoft Purview: KI-Prompts trotz Anonymisierung einsehbar
Mit Microsofts Purview können IT-Teams auch KI-Prompts überwachen, die User sind pseudonymisiert. Analysten können sie deanonymisieren.
Trellix-Einbruch: Cybergang RansomHouse behauptet Datenklau
Neue Erkenntnisse im Fall des unbefugten Zugriffs auf Trellix-Quellcodes: Die kriminelle Bande RansomHouse bekennt sich zum Datenklau.
Debian macht ernst: Nur noch reproduzierbare Pakete in „testing“
Für Debian 14 müssen Pakete reproduzierbar sein, um nach „testing“ zu gelangen. Das Release Team hat die Regeln verschärft.
Schadcode-Lücke bedroht IBM App Connect Enterprise und IBM Integration Bus
Angreifer können IBM App Connect Enterprise und IBM Integration Bus for z/OS attackieren. Updates lösen das Sicherheitsproblem.
Sicherheitspatch: Abermals Sicherheitslücken in cPanel und WHM geschlossen
Angreifer können cPanel und WebHost Manager unter anderem mit Schadcode attackieren. Sicherheitspatches sind verfügbar.
BSI-Studie: Hohe Betroffenheitsquote bei Cyberkriminalität
Phishing, Betrug, fremde Zugriffe: Die meisten Opfer zahlen drauf – und vertrauen Onlinediensten weniger. Viele glauben, ihnen könne nichts passieren.
JDownloader verteilte Malware-Downloads
Anfang Mai hat die Webseite von JDownloader Malware ausgeliefert. Das erinnert an die Daemon Tools, die inzwischen reagiert haben.
DNS-Probleme mit .de-Domains: DENIC liefert erste Erklärung
Fehlerhafte Signaturen haben am Mittwoch Ausfälle von .de-Domains verursacht. Die Verantwortlichen bei der DENIC haben jetzt Erklärungen geliefert.
Urteil gegen die Apobank: Finanzinstitut haftet für Phishing-Schaden
Das Landgericht Berlin verpflichtet die Apobank zur Erstattung von über 200.000 Euro und fordert eine bessere Auswertung von IP-Adressen zur Betrugsprävention.