heise.de/security/news

  1. phpBB: Kritische Sicherheitslücke ermöglicht Kompromittierung

    In der Forensoftware phpBB haben IT-Forscher eine kritische Sicherheitslücke entdeckt, die Zugang mit jedem angelegten Konto ermöglicht.

  2. „Sommer der Glückseligkeit“: curl nimmt einen Monat lang keine Bug-Reports an

    Seit Wochen kämpft der Maintainer von curl mit der Arbeitslast durch die Flut an KI-generierten Bug-Reports. Im Juli soll deshalb keiner angenommen werden.

  3. Präparierte PDF-Datei kann Avira Antivirus gefährlich werden

    In einer Schwachstellendatenbank sind Lücken in Avira Antivirus aufgetaucht. Bislang listet der Softwarehersteller die Lücken nicht auf. Sie sind aber gepatcht.

  4. Cybergang ShinyHunters attackiert Oracle-PeopleSoft-Schwachstelle

    Die kriminelle Gruppe ShinyHunters greift die kritische Sicherheitslücke in Oracle PeopleSoft an, die zum Wochenende bekannt wurde.

  5. Massive Störungen bei iranischen Banken nach Cyberangriff

    Hackerangriff auf staatliche Banken im Iran: Online-Zahlungen sind landesweit gestört – ein weiterer Schlag gegen Irans ohnehin fragile Infrastruktur.

Security-Insider | News | RSS-Feed

  • Fehlerhafter POST-Request reicht für Absturz von SolarWinds Dateiserver
    Die Schwachstelle CVE-2026-28318 in SolarWinds Serv-U lässt sich ohne Authentifizierung per POST-Request ausnutzen und stürzt den Dateiserver ab. CISA hat die Lücke als aktiv ausgenutzt in ihren KEV-Katalog auf­ge­nom­men und setzt US-Behörden eine Patchfrist bis zum 19. Juni 2026.
  • Halbzeit der ISX Tour 2026
    Anpfiff, Pressing, Treffer. Die ISX IT-Security Conference in München zeigte Taktiken von Detection und Incident Response bis Digitale Souveränität und AI Act. Mit über 160 Teilnehmern, Ausstellern und Speakern war der zweite Stopp der ISX Tour ein voller Erfolg. Nur ein Eigentor mussten die Organisatoren hinnehmen.
  • Resilienz umfasst mehr als nur Backups
    In unserer fünfteiligen Serie zur Datenresilienz gehen wir auf die unterschiedlichen Aspekte des Themas ein: Teil 4 widmet sich der Datenresilienz im Unternehmenskontext sowie neuen Trends und Technologien, die bei der Umsetzung berücksichtigt werden sollten.
  • Android-Smartphones sind das größte Einfallstor ins Unternehmensnetz
    Android-Smartphones sind das meistgenutzte mobile Betriebssystem welt­weit und damit das bevorzugte Angriffsziel für Cyberkriminelle im Un­ter­neh­mens­all­tag. Wer Zugriff auf ein Gerät erhält, erschließt sich oft gleichzeitig VPN-Zugänge, 2FA-Token und geschäftliche E-Mails. Klassische Schutz­maß­nah­men reichen für dieses Angriffsszenario längst nicht mehr aus.
  • Bundesregierung gründet KI-Sicherheitsinstitut
    Deutschland bekommt ein KI-Sicherheitsinstitut. Der Nationale Sicherheits­rat beschloss die Einrichtung zur Risikobewertung moderner KI-Modelle.
  • Koordinierte Zerschlagung des Supply-Chain-Botnetzes Glassworm
    Das Glassworm-Botnetz griff gezielt Entwickler und Software-Lieferketten an und wurde von Akteuren aus nicht-kooperierenden Staaten gesteuert. Wenn Strafverfolgung an Staatsgrenzen scheitert, bleibt Disruption als schärfstes Mittel. Der koordinierte Takedown des Glassworm-Botnetzes vom 26. Mai zeigt, wie wirkungsvoll das sein kann.
  • ShinyHunters missbrauchen Zero-Day-Lücke in Oracle PeopleSoft
    Die Erpressergruppe ShinyHunters missbraucht eine kritische Zero-Day-Lücke in Oracle PeopleSoft, um Daten aus Hochschulen und Unternehmen zu stehlen. Sicherheitsforscher von Mandiant dokumentieren Angriffe auf mehr als 100 Organisationen, rund 68 Prozent davon aus dem Hochschul­be­reich. Oracle hat am 10.06.2026 einen Patch veröffentlicht, der umgehend eingespielt werden sollte.
  • Notepad++ patcht kritische Codeausführungslücken
    Die Notepad++-Entwickler liefern ein außerplanmäßiges Update gegen drei Schwachstellen. Zwei erlauben die Ausführung beliebigen Codes über manipulierte Konfigurationsdateien, die dritte legt den Editor lokal lahm. Vollständigen Schutz bietet erst Version 8.9.6.2.