heise.de/security/news

  1. Sicherheitsfixes: Warum man schnell auf iOS 26.5 & Co. aktualisieren sollte

    Die gestern gelieferten Aktualisierungen sind wieder voll von sicherheitsrelevanten Fehlerbehebungen. User älterer macOS-Versionen warten auf ein neues Safari.

  2. Pi-hole-Update schließt dnsmasq-Sicherheitslücken

    Das Pi-hole-Projekt hat das Update auf FTL 6.6.2 veröffentlicht. Es schließt Lücken in dnsmasq. Andere Projekte dürften folgen.

  3. Node.js: Abermals Ausbruch aus vm2-Sandbox möglich

    Eine kritische Sicherheitslücke in der Node.js-Sandbox vm2 kann Schadcode passieren lassen. Ein Sicherheitspatch steht zum Download bereit.

  4. Supply-Chain-Angriff auf TanStack: 42 Pakete kompromittiert

    Zahlreiche TanStack-Pakete auf npm haben eine Supply-Chain-Attacke erlitten, offenbar im Rahmen der Angriffswelle „Mini Shai-Hulud“.

  5. Infostealer auf KI-Plattform Hugging Face tarnt sich als OpenAI-Repository

    Das Repository Open-OSS/privacy-filter enthielt einen Infostealer und wurde über 240.000 Mal heruntergeladen, bevor Hugging Face es entfernt hat.

Security-Insider | News | RSS-Feed

  • Einsatz von Schwachstellen-KI zu riskant?
    Ein neues KI-Modell zur Suche nach Software-Schwachstellen sorgt für Aufsehen. Inzwischen stellen sich viele Verantwortliche Fragen, was das Antropics KI-Modell Claude Mythos für die nationale und europäische Sicherheit bedeutet.
  • MFA in Active Directory umsetzen und im Betrieb absichern
    Active Directory bildet den Kern vieler Identitätsinfrastrukturen, stellt aber keine native Multifaktor-Authentifizierung (MFA) für klassische Kenn­wort­an­mel­dungen bereit. Der Schutz privilegierter Konten erfordert alternative Konzepte von Smartcard-Anmeldung über Endpunkt-Erweiterungen bis hin zu vorgelagerten Identitätskontrollen.
  • Schnelle Wiederherstellung und die Weiterentwicklung der Regeln für die IT-Architektur
    Jahrzehntelang folgten Infrastrukturteams einer strengen Regel: Backup- und Produktionsdaten dürfen niemals auf derselben Hardware gemischt werden. In der Vergangenheit war dies sowohl aus Gründen der physischen Sicherheit als auch der Leistung notwendig. So blockierten Backup-Prozesse oft die Ressourcen, die eigentlich für den Live-Betrieb von Hoch­leistungs­anwendungen benötigt wurden.
  • Third-Party-Risiken werden systematisch unterschätzt
    Cyberkriminelle kompromittieren gezielt Dienstleister und IT-Partner, um über Umwege in die Systeme ihrer eigentlichen Ziele vorzudringen. 2025 verzeichneten laut Branchenanalysen 97 Prozent global agierender Unternehmen Betriebsstörungen durch Supply-Chain-Angriffe. NIS-2 und DORA machen Third-Party-Risikomanagement deshalb zur Pflicht auf Führungsebene.
  • „Copy Fail“-Sicherheitslücke im Linux-Kernel wird in Angriffen ausgenutzt
    Eine Schwachstelle im Linux-Kernel bedroht alle großen Versionen seit 2017 und ermöglicht eine Eskalation bis Root. Patches und ein Workaround sind verfügbar, gängige Distributionen stellen aktualisierte Kernel bereit.
  • Fraunhofer-Institut bekämpft Desinformation
    Deepfakes und Rage Bait erreichen Jugendliche online massenhaft. Das Fraunhofer SIT entwickelt im Projekt „Vampir“ Maßnahmen für Plattformen und Schulen, um Desinformation schneller einzudämmen.
  • Vom Schock zur Strategie – So gelingt die Ransomware Incident Response
    Was tun, wenn plötzlich alles verschlüsselt ist und das Unternehmen still steht? Seien Sie beim IS4IT-Workshop dabei, bei dem Sie lernen, welche Entscheidungen wann getroffen werden müssen, welche Fallstricke Sie vermeiden sollten und wertvolle Praxistipps erhalten.
  • FlyOOBE: Windows 11 ohne TPM installieren
    FlyOOBE ermöglicht die Installation von Windows 11 auf offiziell nicht unterstützter Hardware. Das portable Tool umgeht TPM- und CPU-Prüfungen, steuert Setup und OOBE und erlaubt eine granulare Konfiguration von Konten, Netzwerk, Datenschutz und Apps. Der Beitrag zeigt, wie Administratoren ältere Systeme weiter betreiben und den Upgrade-Prozess technisch kontrollieren.