Clevo, ein Hersteller von Computer-Hardware, hat unbeabsichtigt private Schlüssel innerhalb seiner UEFI-Firmware-Update-Pakete offengelegt. Diese Schlüssel sind entscheidend für Intel Boot Guard, einer Sicherheitsfunktion, die den frühen Boot-Prozess schützt. Boot Guard überprüft den Initial Boot Block und stellt sicher, dass nur vertrauenswürdige Firmware vor der UEFI-Initialisierung ausgeführt wird. Die ausgetauschten Schlüssel könnten von Angreifern ausgenutzt werden, um schädliche Firmware zu signieren und den Schutz von Boot Guard zu umgehen. Dies ermöglicht es dem Angreifer, UEFI-Systeme zu kompromittieren und eine anhaltende Kontrolle zu erlangen. Clevo's Firmware wird von anderen Herstellern verwendet, was den potenziellen Einfluss über Clevo-Marken-Systeme hinaus erweitert. Ein Angreifer mit Zugriff auf Flash-Speicher könnte die Schlüssel verwenden, um schädliche Firmware zu installieren. Diese Kompromittierung könnte zu einer heimlichen Kontrolle der betroffenen Geräte führen. Clevo hat die betroffene Software entfernt, aber öffentliche Schritte zur Behebung bleiben unbestimmt. Benutzer sollten ihre Exposition bewerten, Änderungen überwachen und nur verifizierte Firmware-Updates anwenden. Der Vorfall wurde vom Binarly Research Team gemeldet, und dieses Dokument wurde von Vijay Sarvepalli verfasst.

Das Kiwire Captive Portal, eine Gast-WLAN-Lösung von SynchroWeb, weist drei kritische Schwachstellen auf. Dazu gehören SQL-Injection im nas-id-Parameter, die eine Kompromittierung der Datenbank ermöglicht. Eine Open-Redirect-Schwachstelle besteht im login-url-Parameter, die eine Weiterleitung auf bösartige Websites ermöglicht. Zusätzlich ist eine Reflected Cross-Site Scripting (XSS)-Schwachstelle im login-url-Parameter vorhanden, die die Ausführung von JavaScript erlaubt. Die SQL-Injection-Schwachstelle, CVE-2025-11188, ermöglicht es Angreifern, sensible Daten aus der Datenbank zu exfiltrieren. CVE-2025-11190, die Open-Redirect-Schwachstelle, kann Benutzer auf von Angreifern kontrollierte Websites locken. CVE-2025-11189, die XSS-Schwachstelle, ermöglicht die Ausführung von JavaScript auf Geräten, die versuchen, sich anzumelden. Der Anbieter hat alle drei Schwachstellen behoben. Benutzern betroffener Kiwire Captive Portal-Versionen wird dringend empfohlen, auf die neueste Version zu aktualisieren. Ein Sicherheitsratgeber ist auf der SynchroWeb-Website verfügbar. SynchroWeb wird sich auch mit betroffenen Benutzern in Verbindung setzen, um bei der Behebung zu helfen.

Eine kritische Remote-Code-Ausführungs-Schwachstelle, CVE-2025-10547, wurde in Draytek Vigor-Routern identifiziert. Dieser Fehler liegt im Skript der LAN-Webadministrationsschnittstelle. Eine nicht initialisierte Variable in diesem Skript ermöglicht es Angreifern, präparierte HTTP-Anfragen zu senden. Diese Anfragen können zu Speicherbeschädigungen auf dem Router führen. Potenziell kann diese Speicherbeschädigung zu beliebiger Codeausführung führen. Wenn EasyVPN aktiviert ist, ist die Schwachstelle über die VPN-Schnittstelle remote ausnutzbar. Ein Angreifer kann die vollständige Kontrolle über den betroffenen Router erlangen. Dies könnte die Installation von Backdoors, die Neukonfiguration von Netzwerkeinstellungen oder die Blockierung von Datenverkehr ermöglichen. Darüber hinaus könnten Angreifer für laterale Bewegungen innerhalb des Netzwerks pivotieren. Draytek hat Patches zur Behebung dieser Schwachstelle veröffentlicht. Benutzern wird dringend empfohlen, ihre Vigor-Router so schnell wie möglich auf die neueste Firmware-Version zu aktualisieren.

Ein bedeutender Angriff auf die npm-Lieferkette, Spitzname Shai-Hulud, wurde im September 2025 bekannt. Über 500 npm-Pakete sind von dieser sich selbst verbreitenden Malware betroffen. Der Angriff nutzt diebstahl von Anmeldeinformationen und automatisierte Paketveröffentlichung zur Verbreitung. Er nutzt bekannte Schwachstellen wie Postinstall-Skripte und Kompromittierungen von CI/CD-Plattformen aus. Die Malware begann wahrscheinlich mit der Ausführung einer bösartigen bundle.js-Datei über ein Postinstall-Skript nach der Paketinstallation. Dieses Skript scannte dann nach und sammelte Geheimnisse mit Tools wie TruffleHog. Gestohlene Anmeldeinformationen wurden verwendet, um die Malware in anderen Repositories zu veröffentlichen, wodurch kompromittierte Systeme zu neuen Infektionsvektoren wurden. GitHub Actions wurde besonders für die automatisierte Trojanisierung missbraucht, eine Taktik, die bereits zuvor beobachtet wurde. Die Auswirkungen umfassen über 500 kompromittierte Pakete und die potenzielle Kompromittierung des npm-Kontos von CrowdStrike. GitHub und CISA haben Ratschläge zu diesem Vorfall veröffentlicht. Zur Abmilderung sollten npm-Benutzer kompromittierte Pakete prüfen und ersetzen, Abhängigkeiten mit package-lock.json sperren und interne Spiegel in Betracht ziehen. Das Deaktivieren von Postinstall-Skripten, wo immer möglich, wird ebenfalls empfohlen. Entwickler sollten exponierte Anmeldeinformationen rotieren und Prinzipien der geringsten Rechte in CI/CD-Umgebungen durchsetzen.

In älteren Versionen von Lectora Desktop und Lectora Online besteht eine Cross-Site-Scripting-Schwachstelle. Genauer gesagt sind die Lectora Desktop-Versionen 21.0 bis 21.3 und die Lectora Online-Versionen 7.1.6 und älter betroffen. Diese Schwachstelle tritt in Kursen auf, die mit aktiviertem Seamless Play Publish und deaktivierter Web Accessibility veröffentlicht wurden. Die Ausnutzung dieses Fehlers ermöglicht die JavaScript-Injection durch manipulierte URL-Parameter. Ein solcher Angriff könnte zu Session-Hijacking oder Benutzerumleitung führen. Die Schwachstelle wurde in Lectora Desktop Version 21.4 gepatcht, die am 25. Oktober 2022 veröffentlicht wurde. Lectora Online erhielt ebenfalls einen Patch, Version 7.1.7, der am 20. Juli 2025 bereitgestellt wurde. Entscheidend ist, dass Benutzer ihre bestehenden Kurse neu veröffentlichen müssen, um diese Patches anzuwenden. Diese Anweisung wurde in den Desktop-Release-Notes irrtümlicherweise weggelassen. Das CERT Coordination Center macht auf diese Schwachstelle aufmerksam, da Lectora-Software von hochkarätigen Benutzern eingesetzt wird.

LangChainGo, eine Go-Implementierung des LLM-Frameworks LangChain, weist eine kritische Schwachstelle für das Lesen beliebiger Dateien auf. Diese Schwachstelle, identifiziert als CVE-2025-9556, ergibt sich aus der Verwendung der Gonja-Template-Engine, die die Jinja2-Syntax unterstützt. Angreifer können dies ausnutzen, indem sie bösartige Inhalte in Prompts einschleusen und so eine serverseitige Template-Injection auslösen. Die Fähigkeit der Gonja-Engine, externe Dateien über Direktiven wie {% include %} einzubinden, ermöglicht es Angreifern, sensible Dateien zu lesen. Dies könnte Daten wie /etc/password preisgeben und die Vertraulichkeit des Systems gefährden. In Chatbot-Anwendungen, die mit LangChainGo erstellt wurden, benötigen Angreifer lediglich Zugriff auf die Prompts, um diese Schwachstelle auszunutzen. Die Schwachstelle ermöglicht unbefugten Zugriff auf sensible Informationen, die auf dem Server des Opfers gespeichert sind. Diese Offenlegung kann zu einer weiteren Kompromittierung des Systems führen. Glücklicherweise hat der Maintainer von LangChainGo ein Update veröffentlicht, das dieses Problem behebt. Die neue Version enthält eine sichere RenderTemplateFS-Funktion, die den Dateisystemzugriff standardmäßig blockiert. Benutzern wird dringend empfohlen, auf die neueste Version zu aktualisieren, um dieses Sicherheitsrisiko zu mindern.

Zwei lokale Sicherheitslücken wurden in Sunshine für Windows entdeckt, die Version v2025.122.141614 und möglicherweise frühere Versionen betreffen. Diese Schwachstellen könnten es Angreifern ermöglichen, beliebigen Code auszuführen und erhöhte Privilegien auf kompromittierten Systemen zu erlangen. Sunshine ist ein selbst gehosteter Game-Streaming-Host für Moonlight. Die erste Schwachstelle, CVE-2025-10198, ist ein Problem mit einem ungeschützten Dienstpfad. Dies ermöglicht es einem lokalen Angreifer, eine bösartige ausführbare Datei in einem Verzeichnis innerhalb des Dienstpfads zu platzieren. Wenn der Dienst startet, würde er den bösartigen Code mit erhöhten Privilegien ausführen. Die zweite Schwachstelle, CVE-2025-10199, ist ein DLL-Suchreihenfolge-Hijacking-Fehler. Dies bedeutet, dass ein Angreifer eine bösartige DLL in einem vom Benutzer beschreibbaren Verzeichnis innerhalb der PATH-Umgebungsvariablen platzieren kann. Die Anwendung könnte dann diese bösartige DLL laden, was zur Ausführung von beliebigem Code führt. CVE-2025-10198 ermöglicht eine Privilegienerweiterung auf SYSTEM, was eine vollständige Kompromittierung des Rechners ermöglicht. CVE-2025-10199 ermöglicht die Ausführung von bösartigem Code im Kontext des Benutzers. Benutzer sollten ein Update vom Sunshine-Projekt anwenden, sobald es verfügbar ist. Bis dahin können Benutzer diese Probleme entschärfen, indem sie sicherstellen, dass sich keine vom Benutzer beschreibbaren Verzeichnisse im PATH befinden. Sie sollten auch alle Dienstpfade in Windows-Dienstkonfigurationen in Anführungszeichen setzen. Schließlich kann die Einschränkung der Berechtigungen für dienstbezogene Verzeichnisse die unbefugte Platzierung von Dateien verhindern.

Der Amp’ed RF BT-AP 111 Bluetooth Access Point weist eine kritische Sicherheitslücke auf. Seine administrative Oberfläche ist über HTTP ohne jegliche Authentifizierung zugänglich. Diese Schwachstelle ermöglicht es unauthentifizierten Remote-Angreifern, die vollständige administrative Kontrolle zu erlangen. Der BT-AP 111 fungiert als Bluetooth-zu-Ethernet-Brücke und Access Point. Er unterstützt UPnP und bis zu sieben Bluetooth-Verbindungen. Die Weboberfläche verfügt über keinen Login-Mechanismus, wodurch jeder im Netzwerk Einstellungen einsehen und ändern kann. Angreifer können Bluetooth- und Netzwerkkonfigurationen, einschließlich Sicherheitseinstellungen, ändern. Dieses Fehlen von Authentifizierung verstößt gegen etablierte Sicherheitsbest Practices für vernetzte Geräte. Die Auswirkungen sind die vollständige administrative Kontrolle und die Änderung aller Geräteeinstellungen. Es wurde keine Reaktion des Herstellers auf diese Schwachstelle erhalten. Bis ein Fix verfügbar ist, sollten betroffene Geräte in Netzwerken isoliert werden, die für nicht vertrauenswürdige Benutzer unzugänglich sind.

Hiawatha ist ein Open-Source-Webserver, der für seine Leistung bekannt ist und mehrere Betriebssysteme unterstützt. In bestimmten Versionen von Hiawatha wurden drei Schwachstellen identifiziert. Die Funktion fetch_request leidet unter Request Smuggling aufgrund fehlerhafter Header-Verarbeitung, was potenziell den Zugriff auf eingeschränkte Ressourcen ermöglicht. Die Tomahawk-Komponente weist eine Authentifizierungs-Timing-Attacke-Schwachstelle in ihrem Management-Client aufgrund der Verwendung von strcmp auf. Ein Double-Free-Memory-Fehler existiert in der XSLT-Funktion show_index, was zu Datenbeschädigung und beliebiger Codeausführung führen kann. Diese Schwachstellen betreffen die Hiawatha-Versionen 8.5 bis 11.7, wobei das Double-Free spezifisch für die Versionen 10.8.2 bis 11.7 ist. Die Ausnutzung dieser Fehler kann zu Authentifizierungsumgehung, Session-Hijacking, Injektion von bösartiger Nutzlast und Codeausführung führen. Obwohl Hiawatha nicht mehr aktiv unterstützt wird, hat der Entwickler diese Probleme anerkannt. Abmilderungen und Behebungen für alle drei Schwachstellen wurden getestet und in einer zukünftigen Version enthalten. Benutzern wird empfohlen, die aktualisierte Version zu installieren, sobald sie verfügbar ist. Ali Norouzi von Keysight wird für die Meldung dieser Probleme gedankt.

Die Municipal Accounting Software von Workhorse Software Services, vor Version 1.9.4.48019, weist kritische Designfehler auf. Diese Fehler ermöglichen unbefugten Zugriff auf sensible kommunale Daten und ermöglichen die Exfiltration von Daten. Eine schwerwiegende Schwachstelle betrifft die Speicherung von Datenbankverbindungsinformationen im Klartext neben der Anwendungsexekutive. Dies ermöglicht es Personen mit Lesezugriff auf das Verzeichnis, SQL-Anmeldeinformationen wiederherzustellen, wenn die SQL-Authentifizierung verwendet wird. Darüber hinaus verfügt die Software über eine Funktion zur unauthentifizierten Datenbank-Sicherung, die selbst vom Anmeldebildschirm aus zugänglich ist. Diese Sicherung erstellt ein unverschlüsseltes ZIP-Archiv mit einer .bak-Datei, die ohne Passwort wiederhergestellt werden kann. Ein Angreifer könnte diese Schwachstellen ausnutzen, indem er beispielsweise physischen Zugriff auf eine Workstation erhält oder Malware einsetzt. Die Auswirkungen eines solchen Angriffs könnten die Exfiltration der gesamten Datenbank sein. Dies könnte sensible persönlich identifizierbare Informationen und umfassende kommunale Finanzaufzeichnungen offenlegen. Auch die Manipulation von Daten, die Untergrabung von Prüfpfaden und die Gefährdung des Finanzbetriebs stellen ein erhebliches Risiko dar. Das CERT/CC empfiehlt dringend, umgehend auf Version 1.9.4.48019 zu aktualisieren. Zusätzliche Abhilfemaßnahmen umfassen die Beschränkung des Zugriffs auf das Anwendungsverzeichnis und die Aktivierung der SQL Server-Verschlüsselung mit Windows-Authentifizierung.

"Der Text behandelt Schwachstellen in der AMI Aptio UEFI-Firmware, insbesondere im System Management Mode (SMM). Diese Schwachstellen resultieren aus fehlerhafter Zeigervalidierung in bestimmten Firmware-Modulen. Ein Angreifer könnte diese Schwachstellen ausnutzen, um SMRAM-Daten zu überschreiben, was möglicherweise zu nicht autorisierter Code-Ausführung führt. Der SMM operiert auf einer sehr privilegierten Ebene, "Ring -2", tiefer als der OS-Kernel. Durch Ausnutzung dieser Schwachstellen können Firmware-Schutzmechanismen umgangen und persistente Änderungen vorgenommen werden. Dies könnte den Speicher beschädigen und sensible SMRAM-Daten überschreiben, was die Kontrolle über das Gerät ermöglicht. Die Auswirkungen umfassen die Fähigkeit, Code in der hochprivilegierten SMM-Umgebung auszuführen. Dies kann zum Umgehen bestimmter Firmware-Schutzmechanismen führen. Die empfohlene Lösung besteht darin, die neuesten UEFI-Firmware-Updates von Ihrem PC-Hersteller zu installieren. Benutzer sollten sich an ihren Hersteller und das Sicherheitsbulletin von AMI wenden, um Updates zu erhalten. Das Binarly-Forschungsteam meldete diese Schwachstelle verantwortungsbewusst an CERT/CC. AMI reagierte durch Zusammenarbeit und zeitnahe Bereitstellung einer Lösung."

"Eine kürzlich entdeckte Schwachstelle, bekannt als "MadeYouReset" (CVE-2025-8671), betrifft zahlreiche HTTP/2-Implementierungen. Diese Schwachstelle ermöglicht Denial-of-Service-(DoS)-Angriffe, indem sie eine Ungleichheit in der Verarbeitung von Stream-Resets ausnutzt. Die Schwachstelle entsteht, weil die HTTP/2-Spezifikationen einen zurückgesetzten Stream als geschlossen betrachten, während viele Server-Implementierungen den Antrag intern weiterverarbeiten. Diese Diskrepanz bedeutet, dass ein Client eine unbegrenzte Anzahl von gleichzeitigen Anfragen auf einer einzelnen Verbindung auslösen kann. Angreifer können dies ausnutzen, indem sie schnell Reset-Frames senden, was zu Ressourcen-Erschöpfung auf dem Server führt. Der primäre Einfluss besteht in der Möglichkeit von verteilten Denial-of-Service-(DDoS)-Angriffen, die zu Server-Überlastung oder Speicher-Erschöpfung führen. Obwohl HTTP/2 eine Einstellung für die maximale Anzahl von gleichzeitigen Streams hat, werden zurückgesetzte Streams nicht in diesem Limit berücksichtigt. Diese Schwachstelle ähnelt dem "Rapid Reset"-Angriff (CVE-2023-44487). Mehrere Anbieter haben Patches veröffentlicht, und Benutzer werden gebeten, diese anzuwenden. CERT/CC empfiehlt den Anbietern, ihre HTTP/2-Implementierungen zu überprüfen und die Anzahl der vom Server gesendeten RST_STREAMs zu begrenzen. Weitere Strategien zur Minderung der Schwachstelle sind von den Meldern der Schwachstelle verfügbar."

Partner-Software und Partner-Web sind anfällig für Cross-Site-Scripting-(XSS)-Angriffe aufgrund unzureichender Sanitierung von Berichts- und Notizdateien. Diese Anwendungen, die von der Industrie, Kommunen, staatlichen Regierungen und privaten Auftragnehmern verwendet werden, ermöglichen autorisierten Benutzern das Hochladen von Dateien. Die Datei-Upload-Funktion beschränkt keine Dateitypen, was es Angreifern ermöglicht, schädlichen Code auf einem Opfergerät auszuführen. Darüber hinaus wird Partner-Web mit standardmäßigen Administrator-Anmeldedaten ausgeliefert, was ein erhebliches Sicherheitsrisiko darstellt. Diese Schwachstellen, die als CVE-2025-6076, CVE-2025-6077 und CVE-2025-6078 identifiziert wurden, können zu beliebiger Code-Ausführung und Geräte-Kompromittierung führen. Der Einfluss dieser Schwachstellen ermöglicht es Angreifern, Administrator-Zugriff zu erlangen oder XSS-Angriffe durchzuführen. Partner-Software hat ein Patch in Version 4.32.2 veröffentlicht, um diese Sicherheitslücken zu beheben. Das Patch entfernt die Admin- und Edit-Benutzerrollen, bereinigt die Eingaben im Notizbereich und beschränkt Dateianhänge auf bestimmte Formate. Die betroffenen Versionen von Partner-Web sind 4.32 und früher. Informationen zum Patch finden Sie auf der Partner-Software-Website.

Der TP-Link-Archer-C50-Router, der jetzt als End-of-Life gilt, hat eine kritische Firmware-Schwachstelle. Diese Schwachstelle betrifft einen hartcodierten, statischen DES-Verschlüsselungsschlüssel, der im ECB-Modus für Konfigurationsdateien verwendet wird. Angreifer können diese Schwachstelle ausnutzen, indem sie sensible Daten in diesen Dateien entschlüsseln. Die Verschlüsselung fehlt an Zufälligkeit und Nachrichtenauthentifizierung, was die Offline-Entschlüsselung erleichtert. Eine erfolgreiche Ausnutzung gewährt Zugriff auf administrative Anmeldedaten und Wi-Fi-Passwörter. Sie enthüllt auch Netzwerkeinstellungen wie statische IPs und DNS-Server-Details. Dies ermöglicht die Erfassung von Netzwerk-Intelligenz, die interne Strukturen und verbundene Geräte offenlegt. Die Schwachstelle ist leicht auf Standard-Firmware auszunutzen und erfordert nicht, dass der Router aktiv ist. Die primäre Auswirkung ist der vollständige autorisierte Zugriff auf Router-Konfigurationen, was zu einem Netzwerk-Kompromiss führt. Derzeit gibt es keine bekannte praktische Lösung, und das Gerät erhält keine Sicherheits-Updates mehr. Benutzer werden dringend dazu geraten, den Archer C50 durch ein unterstütztes Router-Modell zu ersetzen.

Lakeside Software bietet ein Produkt namens SysTrack an, eine IT-Plattform für digitale Mitarbeitererfahrungen, die ein ausführbares Programm namens LsiAgent.exe enthält. LsiAgent.exe lädt verschiedene dynamische Verweisbibliotheksdateien (DLL-Dateien) beim Ausführen, aber es überprüft die Dateien oder ihre Speicherorte nicht ordnungsgemäß. Diese Schwachstelle ermöglicht es einem Angreifer, eine böswillige DLL-Datei in einem bekannten System-Pfad-Variable auf dem Opfergerät zu platzieren. Wenn LsiAgent.exe ausgeführt wird, lädt es den böswilligen Code, was zu Code-Ausführung und Privilegien-Eskalation führt. LsiAgent.exe läuft im Kontext von NT AUTHORITY\SYSTEM, was den Auswirkungen noch gravierender macht. Die Schwachstelle, die als CVE-2025-6241 verfolgt wird, kann ausgenutzt werden, indem eine böswillige DLL-Datei in einer System-Pfad-Umgebungsvariable platziert oder indem das LsiAgent.exe-Programm mit einer böswilligen DLL gebündelt wird. Lakeside Software hat einen Patch bereitgestellt, um das betroffene LsiAgent.exe-Programm zu beheben. Die anfällige Version 10.05.0027 wurde in Versionen 10.10.0.42 und höher von LsiAgent.exe behoben. Die Veröffentlichungshinweise der behobenen Version sind auf der Lakeside Software-Website verfügbar. Dank an den Reporter Owen Sortwell und die Mitwirkenden Adam Merrill und Brian Healy von Sandia National Laboratories für die Entdeckung und Meldung der Schwachstelle.

Schwachstellen in System-Management-Modus-Aufrufen (SMM) wurden in UEFI-Modulen von Gigabyte-Firmware identifiziert. Diese Schwachstellen können ausgenutzt werden, um Privilegien zu erhöhen und beliebigen Code im SMM-Umfeld eines UEFI-unterstützten Prozessors auszuführen. Die Unified Extensible Firmware Interface (UEFI)-Spezifikation definiert eine Schnittstelle zwischen einem Betriebssystem und Plattform-Firmware, und UEFI kann direkt mit Hardware über SMM interagieren. SMM-Operationen werden innerhalb eines geschützten Speicherbereichs namens System-Management-RAM (SMRAM) ausgeführt und sind nur über System-Management-Interrupt-Handler (SMI) zugänglich. Vier Schwachstellen wurden in Gigabyte-Firmware-Implementierungen identifiziert, darunter die unkontrollierte Verwendung des RBX-Registers, das Fehlen von Validierungen von Funktionszeigeraufbaustrukturen, eine Doppel-Pointer-Dereferenz-Schwachstelle und das von Angreifern kontrollierte RBX-Register, das als unkontrollierter Zeiger verwendet wird. Diese Schwachstellen können über SMI-Handler innerhalb des Betriebssystems oder während früher Boot-Phasen, Schlafzuständen oder Wiederherstellungsmodi ausgelöst werden. Ein Angreifer mit lokalen oder remote administrativen Privilegien kann diese Schwachstellen ausnutzen, um beliebigen Code im System-Management-Modus auszuführen, um OS-Ebene-Schutzmechanismen wie Secure Boot und Intel BootGuard zu umgehen, was heimliche Firmware-Implantate und dauerhafte Kontrolle über das System ermöglicht. Gigabyte hat aktualisierte Firmware veröffentlicht, um die Schwachstellen zu beheben, und Benutzer werden dringend gebeten, die Gigabyte-Support-Seite zu besuchen, um zu überprüfen, ob ihre Systeme betroffen sind, und die erforderlichen Updates anzuwenden.

Mehrere Schwachstellen wurden in Ruckus Wireless Management-Produkten identifiziert, darunter Virtual SmartZone (vSZ) und Network Director (RND). Diese Schwachstellen umfassen Authentifizierungs-Bypass, hartkodierte Geheimnisse, willkürliches Lesen von Dateien und nicht authentifizierte Remote-Codeausführung. Die Probleme können eine vollständige Kompromittierung der von der betroffenen Software verwalteten Umgebungen ermöglichen. Ruckus Wireless bietet Netzwerkgeräte für Orte mit vielen Endpunkten an, die mit dem Internet verbunden sind. Virtual SmartZone ist eine Software zur Steuerung von drahtlosen Netzwerken, die große Netzwerke verwalten kann. Ruckus Network Director ist eine Software zur Verwaltung mehrerer vSZ-Cluster in einem einzigen Netzwerk. Die identifizierten Schwachstellen umfassen hartkodierte Geheimnisse, willkürliches Lesen von Dateien und nicht authentifizierte Remote-Codeausführung. Diese Schwachstellen können miteinander verknüpft werden, um Angriffe zu erzeugen, die Sicherheitskontrollen umgehen. Es wurden keine Patches vom Anbieter bereitgestellt, und Netzwerkadministratoren wird geraten, den Zugriff auf die drahtlosen Managementumgebungen einzuschränken, um das Risiko zu mindern. Die Schwachstellen wurden von Noam Moshe vom Claroty Team82 gemeldet und vom CERT/CC dokumentiert.

Ein Schwachpunkt in UEFI-Firmware-Anwendungen von DTBios und BiosFlashShell von DTResearch ermöglicht es, Secure Boot durch eine speziell erstellte NVRAM-Variable zu umgehen. Der Schwachpunkt resultiert aus einer fehlerhaften Behandlung einer Laufzeit-NVRAM-Variable, die einen willkürlichen Schreibzugriff ermöglicht, um kritische Firmware-Strukturen, einschließlich des globalen Sicherheitsprotokolls Security2, das für die Secure-Boot-Verifizierung verwendet wird, zu modifizieren. Da die betroffenen Anwendungen von der Microsoft UEFI-Zertifizierungsstelle signiert sind, kann dieser Schwachpunkt auf jedem UEFI-kompatiblen System ausgenutzt werden, um unsigned Code während des Boot-Prozesses auszuführen. Der Schwachpunkt wurde in einer von Microsoft signierten UEFI-Anwendung identifiziert, die die NVRAM-Variable IhisiParamBuffer als Zeiger für Speicheroperationen verwendet, einschließlich des Überschreibens des kritischen globalen Sicherheitsparameters gSecurity2. Dies ermöglicht es, die Security2-Architektur-Protokoll-basierte Verifizierung zu umgehen und beliebige unsigned Binaries unabhängig von den UEFI-Secure-Boot-Einstellungen auszuführen. Der Schwachpunkt kann in Umgebungen ausgenutzt werden, in denen die IhisiParamBuffer-NVRAM-Variable nicht gesperrt ist und während der Laufzeit schreibbar bleibt. Um diesen Schwachpunkt zu minimieren, müssen betroffene UEFI-Module über von Herstellern bereitgestellt werden, und alle UEFI-kompatiblen Systeme sollten ihre Secure-Boot-Forbidden-Signature-Datenbank aktualisieren. Ein Angreifer, der die Möglichkeit hat, die IhisiParamBuffer-NVRAM-Variable zu modifizieren, kann sie verwenden, um willkürliche Schreiboperationen durchzuführen und Secure Boot während des frühen Boot-Prozesses zu umgehen. Dies ermöglicht es, unsigned oder schädliche Code vor dem Laden des Betriebssystems auszuführen, potenziell persistente Malware oder Kernel-Rootkits, die Reboots und Neuinstallationen des Betriebssystems überstehen.

Ein Sicherheitsproblem wurde in der Referenzbibliothek-Spezifikation 2.0 des Trusted Platform Module (TPM) identifiziert, das von einem Angreifer mit Zugriff auf eine TPM-Kommando-Schnittstelle ausgenutzt werden kann. Der Angreifer kann speziell gestaltete Befehle senden, was möglicherweise Zugriff auf sensible Daten oder eine Dienstunterbrechung des TPM führen kann. TPM-Technologie bietet sichere kryptographische Funktionen für Betriebssysteme auf modernen Rechnerplattformen. Die Trusted Computing Group (TCG) unterhält die TPM-Spezifikationen und eine Referenzimplementierung, um die Übernahme durch Anbieter zu unterstützen. Ein Sicherheitsforscher entdeckte eine OOB-Lese-Schwachstelle in der CryptHmacSign-Funktion der Referenzimplementierung. Das Problem entsteht, weil der Referenzcode keine geeigneten Konsistenzprüfungen implementierte, was zu potenziellen out-of-bound-Lesevorgängen führt. Ein Angreifer kann diese Diskrepanz ausnutzt, indem er ein böswillig gestaltetes Paket sendet, was zu einem out-of-bounds-Lesevorgang aus dem TPM-Speicher führt, was sensible Daten offenlegen kann. Ein authentifizierter lokaler Angreifer kann böswillige Befehle an eine anfällige TPM-Schnittstelle senden, was zu Informationen-Offenlegung oder Dienstunterbrechung des TPM führen kann. Die TCG hat ein Errata-Update für die TPM 2.0-Spezifikation und aktualisierte Referenzimplementierungen veröffentlicht, um diese Schwachstelle werden dringend aufgerufen, TPM-bezogene Firmware-Updates von ihren Hardware- oder Systemanbietern anzuwenden.

Ein Schwachpunkt in der Insyde H2O UEFI-Firmware ermöglicht die Einschleusung digitaler Zertifikate durch eine ungeschützte NVRAM-Variable. Dieses Problem entsteht durch die unsichere Verwendung einer NVRAM-Variable, die als vertrauenswürdiger Speicher für ein digitales Zertifikat in der Vertrauensvalidierungs-Kette verwendet wird. Ein Angreifer kann sein eigenes Zertifikat in dieser Variable speichern und anschließend willkürlichen Firmware-Code während des frühen Boot-Prozesses im UEFI-Umfeld ausführen. UEFI-Anwendungen müssen signiert und überprüft werden, bevor sie unter Secure Boot ausgeführt werden können, und Signaturen können von OEM oder aus Einträgen in der Signatur-Datenbank stammen. Der Schwachpunkt wurde aufgrund der Verwendung einer unvertrauenswürdigen NVRAM-Variable, SecureFlashCertData, zum Speichern und Austausch von öffentlichen Schlüsseln erkannt. Da diese NVRAM-Variable nicht geschützt ist, kann sie zur Laufzeit aktualisiert werden, was es einem Angreifer ermöglicht, seine eigenen Schlüssel einzuschleusen. Um diesen Schwachpunkt zu mildern, müssen betroffene UEFI-Module über Firmware-Updates von Herstellern aktualisiert werden. Firmware-Sicherheitsanalyse-Werkzeuge können betroffene Variablen in Firmware-Images überprüfen, um die Exposition gegenüber diesem Schwachpunkt zu bewerten. Ein Angreifer, der die Möglichkeit hat, die SecureFlashCertData-NVRAM-Variable zur Laufzeit zu ändern, kann sie verwenden, um sein eigenes digitales Zertifikat einzuschleusen und Secure Boot zu umgehen. Dies ermöglicht es, unsignierten oder bösartigen Code vor dem Laden des Betriebssystems auszuführen, was potenziell persistente Malware oder Kernel-Rootkits installiert, die auch nach Neustart und Neuinstallation des Betriebssystems überdauern.

Eine Stack-Overflow-Schwachstelle wurde in der Open-Source-Bibliothek libexpat entdeckt, die ausgenutzt werden kann, um Denial-of-Service-Angriffe oder Angriffe zur Speicherbeschädigung durchzuführen. Die Schwachstelle wird durch die Art und Weise verursacht, wie libexpat die rekursive Entity-Expansion handhabt, was zu einer unbestimmten Rekursion und schließlich zu Abstürzen führt. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er einem Programm, das libexpat verwendet, ein speziell erstelltes XML-Dokument zur Verfügung stellt. libexpat ist eine weit verbreitete Bibliothek, die von verschiedenen Programmen und Unternehmen eingesetzt wird. Die Schwachstelle, die unter der Bezeichnung CVE-2024-8176 geführt wird, kann ausgenutzt werden, um Denial-of-Service-Angriffe oder Angriffe zur Speicherbeschädigung zu verursachen. Ein Patch für die Schwachstelle wurde in libexpat Version 2.7.0 bereitgestellt. Der Patch kann mithilfe von Proof-of-Concept-Generatoren verifiziert werden. Die Schwachstelle wurde ursprünglich von Jann Horn von Googles Project Zero entdeckt und von Sebastian Pipping, dem Projektbetreuer, gemeldet. Anbieter können der Diskussion über die Schwachstelle auf der VINCE-Website beitreten. Der Bericht über die Schwachstelle wurde von Christopher Cullen verfasst.

Das Radware Cloud Web Application Firewall (WAF) leidet unter Umgehungsmöglichkeiten der Filter. Angreifer können das WAF mit speziell konstruierten HTTP-Anfragen, insbesondere mit der GET-Methode, umgehen. Das Hinzufügen zufälliger Daten zum GET-Request-Body kann WAF-Schutzmechanismen umgehen. Eine weitere Umgehungsmethode besteht darin, Sonderzeichen innerhalb von Anfragen zu verwenden. Die Eingabevalidierung des WAF filtert diese Sonderzeichen unzureichend. Diese Schwachstellen ermöglichen es, dass böswillige Eingaben die geschützte Webanwendung erreichen. Das bedeutet, dass Angreifer Angriffe starten können, ohne von der Firewall erkannt zu werden. Die gemeldeten Schwachstellen wurden anscheinend behoben. Radware hat die ursprünglichen Ergebnisse bei der Offenlegung nicht bestätigt. Oriol Gegundez wird für die Entdeckung und Meldung der Probleme genannt.

Das Audio-over-IP-Produkt PYKO-OUT von Digigram wird zur Audio-Dekodierung verwendet und findet in verschiedenen Bereichen Anwendung. Das Produkt verfügt über Hardware-Merkmale wie analoge Mono-Ausgänge und einen USB-Anschluss. Standardmäßig ist das Produkt ohne Passwort zugänglich, was es anfällig für Angriffe macht. Wenn das Gerät mit dem Internet verbunden ist, können Angreifer darauf zugreifen und sich dadurch zu benachbarten verbundenen Geräten ausweiten oder die Funktionalität des Geräts beeinträchtigen. Digigram ist ein Anbieter von Audio-basierter Hardware und Software, der das Produkt PYKO-OUT verkauft. Eine Sicherheitslücke wurde in der Webserver-Komponente des Produkts entdeckt, die keine Anmeldeinformationen oder einen passwortlosen Zugriff erfordert. Ein Angreifer kann auf die Konfiguration des Geräts zugreifen, Audioausgänge und -eingänge steuern und potenziell auf andere verbundene Geräte zugreifen. Digigram hat das Produkt als "End-of-Life" markiert und wird keinen Patch zur Änderung der Standardkonfiguration bereitstellen. Benutzer können die Passworteinstellungen innerhalb der Webserver-Benutzeroberfläche ändern, um das Gerät abzusichern. Das Produkt wird von Digigram nicht mehr verkauft.

Zwei systemische Jailbreaks wurden entdeckt, die mehrere generative KI-Dienste betreffen und es Angreifern ermöglichen, Sicherheitsprotokolle zu umgehen und illegale oder gefährliche Inhalte zu generieren. Der erste Jailbreak, "Inception" genannt, beinhaltet die Aufforderung an die KI, sich ein fiktives Szenario vorzustellen, das dann angepasst werden kann, um Sicherheitsvorkehrungen zu umgehen. Der zweite Jailbreak beinhaltet das Anfordern von Informationen, wie man auf eine bestimmte Anfrage nicht antworten soll, was es Angreifern ermöglicht, zwischen illegalen und normalen Aufforderungen zu wechseln. Beide Jailbreaks verwenden nahezu die gleiche Syntax und betreffen viele beliebte KI-Systeme, was auf eine systemische Schwäche hindeutet. Zu den betroffenen Anbietern gehören OpenAI, Anthropic, Microsoft, Google, Twitter/X, Facebook und andere. Diese Jailbreaks, obwohl sie für sich genommen von geringer Schwere sind, können von motivierten Bedrohungsakteuren ausgenutzt werden, um böswillige Aktionen zu erreichen, wie z.B. die Generierung von Inhalten zu illegalen Themen. Die systemische Natur dieser Jailbreaks erhöht das Angriffsrisiko, und die Verwendung legitimer Dienste kann böswillige Aktivitäten verbergen. Verschiedene betroffene Anbieter haben sich zu dem Problem geäußert und ihre Dienste angepasst, um den Jailbreak zu verhindern. Die Reporter, David Kuzsmar und Jacob Liddle, entdeckten die Jailbreaks, und Christopher Cullen schrieb das Dokument. Die Jailbreaks haben erhebliche Auswirkungen auf die Sicherheit und den Schutz von KI-Diensten.

Frühere Versionen von PyTorch Lightning, 2.4.0 und älter, haben Sicherheitslücken im Zusammenhang mit der unsicheren Deserialisierung von nicht vertrauenswürdigen Daten. Diese Sicherheitslücken entstehen durch die Verwendung von `torch.load()` ohne geeignete Sicherheitsmaßnahmen. Insbesondere wird der Parameter `weights_only=True` nicht erzwungen, der die Risiken des Ladens von beliebigem Code minimiert. Fünf Sicherheitslücken wurden identifiziert, darunter Probleme in der DeepSpeed-Integration, der PickleSerializer-Klasse, `_load_distributed_checkpoint`, `_lazy_load` und dem Cloud_IO-Modul. Diese Komponenten fehlen angemessene Schutzmaßnahmen bei der Deserialisierung von Modell-Checkpoint-Dateien und verwandten Daten. Durch Ausnutzung dieser Sicherheitslücken könnten böswillige Dateien beliebigen Code innerhalb des Systems ausführen. Dies kann zu einer vollständigen Systemkompromittierung führen, wenn ein Benutzer unbeabsichtigt eine böswillige Datei von einer lokalen oder entfernten Quelle lädt. Gegenmaßnahmen umfassen die Überprüfung der Datei-Ursprünge, die Verwendung von sandgesteuerten Umgebungen und die Durchführung von statischer und dynamischer Analyse. Es wird empfohlen, unnötige Deserialisierungsmerkmale durch sicherstellen, dass `torch.load()` immer mit `weights_only = True` verwendet wird, zu deaktivieren.

"Der Treiber BioNTdrv.sys von Paragon Partition Manager, Versionen vor 2.0.0, enthält fünf Schwachstellen, die von Angreifern mit lokalem Zugriff auf ein Gerät ausgenutzt werden können, um Privilegien zu erhöhen oder eine Denial-of-Service-Situation herbeizuführen. Die Schwachstellen umfassen willkürliche Zuordnungen und Schreibvorgänge im Kernel-Speicher, eine Nullzeiger-Referenz, unsicheren Zugriff auf Kernel-Ressourcen und eine willkürliche Speicherverschiebung. Diese Schwachstellen können auch dann ausgenutzt werden, wenn Paragon Partition Manager nicht installiert ist, indem die Technik "Bring Your Own Vulnerable Driver" (BYOD) verwendet wird. Microsoft hat beobachtet, dass Angreifer diese Schwachstellen in BYOVD-Ransomware-Angriffen ausnutzen, insbesondere indem sie CVE-2025-0289 verwenden, um eine Privilegierung auf SYSTEM-Ebene zu erreichen. Die Schwachstellen wurden von Paragon Software behoben und vulnerable BioNTdrv.sys-Versionen wurden von Microsofts Liste blockierter Treiber gesperrt. Paragon Partition Manager ist ein Software-Werkzeug, das Benutzern ermöglicht, Partitionen auf einer Festplatte zu verwalten, und der Treiber ermöglicht einen niedrigstufigen Zugriff auf die Festplatte mit erhöhten Rechten. Die identifizierten Schwachstellen sind CVE-2025-0288, CVE-2025-0287, CVE-2025-0286, CVE-2025-0285 und CVE-2025-0289, die es Angreifern ermöglichen, beliebigen Kernel-Code auszuführen, beliebigen Kernel-Speicher zu schreiben und Privilegien zu erhöhen. Um diese Schwachstellen zu minimieren, sollten Benutzer ihre Paragon Partition Manager-Installation auf die neueste Version aktualisieren und sicherstellen, dass die Liste blockierter Treiber aktiviert ist. Unternehmen sollten auch sicherstellen, dass die Blockliste für ihre Benutzerbasis angewendet wird, um das potenzielle Laden des vulnerablen Treibers zu verhindern."

PandasAI, eine Python-Bibliothek, die LLMs für die Dateninteraktion verwendet, war anfällig für Prompt-Injection-Angriffe (CVE-2024-12366). Angreifer konnten schädlichen Code über natürlichsprachliche Prompts einschleusen, indem sie Sicherheitsmaßnahmen umgingen. Diese Schwachstelle ermöglichte die willkürliche Ausführung von Code innerhalb des PandasAI-Prozesses. Der Fehler resultiert aus der inhärenten Schwierigkeit, Code und Daten in KI-Agenten zu trennen. Die Ausführung von nicht vertrauenswürdigem Code konnte zu Systemkompromittierungen und weiteren Angriffen auf verbundene Dienste führen. SinaptikAI, der Entwickler, hat dies behoben, indem ein neuer Sicherheitskonfigurationsparameter eingeführt wurde. Benutzer können jetzt zwischen den Sicherheitsstufen Standard, Erweitert und Keine wählen. Eine Sandbox-Umgebung ist auch verfügbar, um die Sicherheit zu erhöhen. Die Schwachstelle wurde von dem NVIDIA AI Red Team entdeckt und gemeldet. Die aktualisierte PandasAI minimiert das Risiko, indem Benutzern ermöglicht wird, geeignete Sicherheitseinstellungen basierend auf ihrer Umgebung auszuwählen.

Eine Jailbreak-Schwachstelle namens „Time Bandit“ wurde in ChatGPT-4o entdeckt. Sie ermöglicht es Angreifern, die Sicherheitsvorkehrungen zu umgehen und die KI zur Bereitstellung unerlaubter oder gefährlicher Inhalte aufzufordern. Die Schwachstelle kann ausgelöst werden, indem die KI mit Fragen zu einem bestimmten Zeitraum in der Geschichte aufgefordert wird, entweder über die Suchfunktion oder durch direkte Aufforderung. Sobald ein historischer Zeitraum festgelegt ist, kann der Angreifer die zeitliche Verwirrung und die prozedurale Mehrdeutigkeit ausnutzen, um die Sicherheitsrichtlinien zu umgehen. Dies kann dazu führen, dass ChatGPT unerlaubte Inhalte generiert, die von einem motivierten Bedrohungsakteur im großen Maßstab für böswillige Zwecke genutzt werden könnten. Die Schwachstelle kann auf zwei Arten ausgenutzt werden: entweder durch direkte Aufforderungen oder durch die Verwendung der Suchfunktion, wobei letztere eine Benutzerauthentifizierung erfordert. Während der Tests konnte das CERT/CC den Jailbreak reproduzieren, aber ChatGPT entfernte die Aufforderung und gab an, dass sie gegen die Nutzungsbedingungen verstößt. ChatGPT beantwortete die entfernte Aufforderung jedoch anschließend, und diese Aktivität wurde mehrmals wiederholt. Der Jailbreak war erfolgreicher, wenn ein Zeitraum innerhalb der 1800er oder 1900er Jahre verwendet wurde. Die Schwachstelle umgeht die Sicherheits- und Schutzrichtlinien von OpenAI und ermöglicht es einem Angreifer, ChatGPT für böswillige Zwecke zu missbrauchen, wie z. B. das Erstellen von Phishing-E-Mails und Malware. OpenAI hat die Schwachstelle inzwischen behoben und erklärt, dass es sich verpflichtet fühlt, seine Modelle sicher zu entwickeln und zu verhindern, dass sie für böswillige Zwecke verwendet werden.

Tunnel-Protokolle sind für die Infrastruktur des Internets essentiell, aber sie authentifizieren oder verschlüsseln den Datenverkehr nicht, was sie anfällig für Angriffe macht. Forscher der DistriNet-KU Leuven-Forschungsgruppe haben Millionen von anfälligen Internet-Systemen entdeckt, die unauthentifizierten Datenverkehr akzeptieren. Diese Systeme können als einwegige Proxys missbraucht werden, ermöglichen die Spoofing von Quelladressen oder bieten Zugang zu privaten Netzwerken. Sie können auch Denial-of-Service-(DoS)-Angriffe, einschließlich Verstärkungsangriffe, die den Datenverkehr um 13- und 75-fach erhöhen können, ermöglichen. Darüber hinaus haben die Forscher einen Economic Denial of Sustainability-(EDoS)-Angriff entdeckt, der den ausgehenden Bandbreitenbedarf eines anfälligen Systems erhöhen und die Betriebskosten erhöhen kann. Ein Angreifer kann diese Schwachstellen ausnutzen, um einwegige Proxys zu erstellen, Quelladressen zu spoofen und DDoS-Angriffe durchzuführen. Die Forscher haben Verteidigungsmechanismen gegen diese Angriffe vorgeschlagen, die in ihrer Veröffentlichung zu finden sind. Die Schwachstellen wurden mit CVE-Nummern versehen, darunter CVE-2024-7595, CVE-2024-7596, CVE-2025-23018 und CVE-2025-23019. Diese CVEs betonen die inhärente Schwäche dieser Protokolle, die die Quelle von Netzwerkpaketen nicht überprüfen oder validieren. Die Forschungsergebnisse haben bedeutende Auswirkungen auf die Netzwerksicherheit und -infrastruktur.

Rsync, ein Werkzeug zur Dateisynchronisierung, enthält in den Versionen 3.3.0 und darunter sechs Sicherheitslücken. Zu diesen Sicherheitslücken gehören ein Heap-Buffer-Überlauf, ein Informationsleck, ein Dateileck, eine externe Verzeichnis-Datei-Schreiboperation, ein Umgehen der --safe-links-Option und eine symbolische Verknüpfungsrace-Bedingung. Rsync wird häufig in Backup-Programmen und öffentlichen Spiegeln verwendet, um Dateien effizient über mehrere Server zu synchronisieren und zu verteilen. Die entdeckten Sicherheitslücken können von Angreifern ausgenutzt werden, um beliebigen Code auszuführen, beliebige Dateien zu lesen und zu schreiben und sensible Daten zu extrahieren. Die Heap-Buffer-Überlauf-Sicherheitslücke kann durch eine von einem Angreifer kontrollierte Prüfsummenlänge ausgelöst werden, während die Informationsleck-Sicherheitslücke durch Manipulation der Prüfsummenlänge ausgelöst werden kann. Die Dateileck-Sicherheitslücke kann dazu führen, dass ein Server den Inhalt von beliebigen Dateien von Clients-Rechnern leckt. Die --safe-links-Option-Sicherheitslücke kann zu einer Pfad-Traversierung-Sicherheitslücke führen, die es einem Server ermöglicht, Dateien außerhalb des vom Client beabsichtigten Zielverzeichnisses zu schreiben. Die symbolische Verknüpfungsrace-Bedingung-Sicherheitslücke kann zu einer Privilegierung führen, die es einem Benutzer ermöglicht, auf privilegierte Dateien auf betroffenen Servern zuzugreifen. Um diese Sicherheitslücken zu beheben, sollten Benutzer die neuesten verfügbaren Patches anwenden und ihre Software so schnell wie möglich aktualisieren. Die Sicherheitslücken wurden von Forschern bei Google Cloud Vulnerability Research und Aleksei Gorban entdeckt und von Andrew Tridgell gemeldet.

Die Anwendung "Howyar UEFI Reloader", die für die frühe Bootverwaltung verwendet wird, enthält eine Schwachstelle, die die Ausführung von nicht signiertem Code während des Bootprozesses ermöglicht. Dies umgeht die UEFI-Sicherheitsfunktion "Secure Boot", die darauf ausgelegt ist, die Ausführung von nicht autorisiertem Code zu verhindern. Die Schwachstelle entsteht durch das Versäumnis des Reloader, die Standard-BootServices-LoadImage()-API für die sichere Ausführung von Anwendungen zu verwenden, wodurch beliebige nicht signierte Software mit hohen Privilegien im UEFI-Kontext ausgeführt werden kann. Ein Angreifer, der in der Lage ist, den UEFI-Bootloader zu aktualisieren, kann diese Schwachstelle ausnutzen, um Secure Boot zu umgehen und schädlichen Code auszuführen. Um die Schwachstelle zu mildern, sollten die Reloader-Anwendung und die UEFI-Secure-Boot-Forbidden-Signature-Datenbank (DBX) aktualisiert werden. Die Auswirkungen der Schwachstelle umfassen die Möglichkeit, Secure Boot zu umgehen, beliebigen Code vor dem Laden des Betriebssystems auszuführen und schädlichen Code im System zu speichern. Unternehmen und Cloud-Anbieter sollten die Anwendung der Updates und die Überprüfung der Änderungen an der DBX-Datei priorisieren, um die Systemstabilität sicherzustellen. Howyar Technologies und Microsoft haben Updates veröffentlicht, um die Schwachstelle zu beheben. Forscher bei ESET entdeckten die Schwachstelle und arbeiteten mit Howyar Technologies zusammen, um sie zu beheben. Änderungen an der DBX-Datei können zu Systeminstabilität führen, daher sollten Hersteller Updates gründlich testen, bevor sie sie implementieren.

"PDQ Deploy ist ein Dienst, den Systemadministratoren verwenden, um Software oder Updates auf ausgewählte Maschinen in ihrem Netzwerk zu verteilen. Es verwendet "Ausführungsmodi" für die Verteilung, einschließlich des "Deploy User"-Modus, der Anmeldeinformationen auf dem Zielgerät unsicher erstellt. Diese Anmeldeinformationen werden nach einer vollständigen Verteilung gelöscht, aber ein Angreifer kann sie vor der Löschung mithilfe von Tools wie Mimikatz kompromittieren. Die kompromittierten Anmeldeinformationen können verwendet werden, um Administratorzugriff auf das Zielgerät oder andere Geräte zu erhalten, die über Active Directory in PDQ Deploy eingeschrieben sind. Um diese Schwachstelle zu mildern, sollten Systemadministratoren LAPS verwenden, den Empfehlungen auf der PDQ Deploy-Website folgen oder alternative Verteilmodi wie "Angemeldeter Benutzer" verwenden, der die Schwachstelle vermeidet. Der "Angemeldeter Benutzer"-Modus erfordert Benutzereingaben und ist nur im Enterprise-Modus verfügbar. Eine französische Quelle hat diese Schwachstellenmitteilung und den Fall mit CERT/CC validiert und koordiniert."

Ein Befehlsinjektions-Schwachstelle wurde im Wi-Fi-Test-Suite-Tool identifiziert, das von der WiFi Alliance entwickelt wurde und auf Arcadyan-Routern eingesetzt wurde. Die Wi-Fi-Test-Suite wurde ursprünglich entwickelt, um Zertifizierungsprogramme und Gerätezertifizierungen zu unterstützen, aber nicht für den Einsatz in Produktionsumgebungen. Es wurde jedoch in kommerziellen Router-Installationen entdeckt, wodurch eine Schwachstelle im Testcode auftritt. Die Schwachstelle ermöglicht es einem nicht authentifizierten lokalen Angreifer, die Wi-Fi-Test-Suite durch das Senden speziell gestalteter Pakete auszunutzen, wodurch die Ausführung von beliebigen Befehlen mit Root-Rechten ermöglicht wird. Ein Angreifer kann diese Schwachstelle ausnutzen, um die volle administrative Kontrolle über das betroffene Gerät zu erlangen. Mit diesem Zugriff kann der Angreifer Systemeinstellungen ändern, kritische Netzwerkdienste stören oder das Gerät vollständig zurücksetzen. Das CERT/CC empfiehlt den Herstellern, die Wi-Fi-Test-Suite auf Version 9.0 oder höher zu aktualisieren oder sie vollständig von Produktionsgeräten zu entfernen, um das Risiko einer Ausnutzung zu reduzieren. Die Schwachstelle wurde der Identifikator CVE-2024-41992 zugewiesen. Das CERT/CC dankt dem Melder Noam Rathaus von SSD Disclosure für die Identifizierung der Schwachstelle. Die empfohlene Lösung soll Serviceunterbrechungen, Kompromittierung von Netzwerkdaten und möglichen Verlust von Diensten für alle Benutzer, die von dem betroffenen Netzwerk abhängig sind, verhindern.