Sicherheitslücke

Eine Sicherheitslücke bezeichnet im IT-Sektor einen Fehler in einer Software, die es einem Schadprogramm oder einem Angreifer ermöglicht, in ein Computersystem einzudringen. Sicherheitslücken können durch das Fehlen von Sicherheitssoftware oder einer Firewall sowie durch Fehler beim Programmieren von Betriebssystemen, Webbrowsern oder anderer eingesetzter Software entstehen. Wird eine Sicherheitslücke entdeckt, ist es Aufgabe des Herstellers oder der Open-Source-Entwickler, diese zu beseitigen. Alle Artikel zum Thema Sicherheitslücke finden sich hier.

Apple geht bei den Bug-Bounty-Prämien für MacOS-Lücken auf Sparkurs. (Bild: Justin Sullivan/Getty Images) (Justin Sullivan/Getty Images)

Sicherheitsforscher warnt: Apple zeigt den "Mittelfinger in Richtung MacOS"

Forscher erhalten künftig teils deutlich weniger Geld für an Apple gemeldete MacOS-Sicherheitslücken. Betroffene sind nicht begeistert.

17 Kommentare

In den React Server Components klafft eine gefährliche Sicherheitslücke. (Bild: pixabay.com / tsmr) (pixabay.com / tsmr)

Auch Next.js betroffen: Kritische React-Lücke gefährdet unzählige Serversysteme

Angreifer können die Sicherheitslücke ausnutzen, um Schadcode einzuschleusen. Etwa 39 Prozent aller Cloudumgebungen sollen anfällig sein.

Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: Wer krank zur Arbeit geht, zahlt wochenlang dafür

zum Ratgeber

Seminar: KI AI Act Training für Anwender mit Zertifikat: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux Administration: Speicherverwaltung - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Leiter Projektmanagement und Consulting Investmentplattform (m/w/d) Investify S.A., Köln (öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Referent/in - Sicherheits- und Verteidigungsindustrie & Start-Ups (m/w/d) Agentur für Innovation in der Cybersicherheit GmbH, Erding (öffnet im neuen Fenster)

Prozessverantwortlicher Technik Vertriebs- und Kundenkontaktprozesse (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Application Manager Künstliche Intelligenz (m/w/d) HELUKABEL GmbH, Hemmingen (öffnet im neuen Fenster)

Leitung Referat Verbandliche Web-Lösungen Deutscher Caritasverband e.V., Berlin (öffnet im neuen Fenster)

Leitung Sachgebiet Digitalisierung und IT (m/w/d) Stadt Bretten, Bretten (öffnet im neuen Fenster)

IT-Koordinator (m/w/d) / IT-Support (m/w/d) AllTerra Deutschland West, Raunheim (öffnet im neuen Fenster)

Anwender sollten auf ihren Android-Geräten nach Updates Ausschau halten. (Bild: Justin Sullivan/Getty Images) (Justin Sullivan/Getty Images)

Sicherheitslücken werden ausgenutzt: Angreifer attackieren Android-Geräte

In Android klaffen zwei gefährliche Sicherheitslücken, die bereits aktiv ausgenutzt werden. Google hat sie zusammen mit über 100 weiteren gepatcht.

17 Kommentare

Es gibt gute Gründe, sich um den Schutz der eigenen Systeme zu kümmern. (Bild: Joa70/Pixabay) (Joa70/Pixabay)

Cybersicherheit: Warum Sicherheitslücken exponentiell wachsen

Eine Security-Spezialistin erklärt uns, warum die Zahl der Software-Sicherheitslücken schneller wächst als der eigentliche Programmcode.

7 Kommentare / Ein Bericht von Lars Lubienetzki

Einige Entwickler hinterlassen Anmeldeinformationen in ihren Code-Repos. (Bild: pixabay.com / RoonzNL) (pixabay.com / RoonzNL)

Bis zu 16 Jahre alt: Zehntausende gültige Zugangsdaten bei Gitlab geleakt

Ein Forscher hat alle öffentlichen Gitlab-Repos auf Zugangsdaten gescannt. Er fand mehr als 17.000, erhielt aber nur eine recht dürftige Belohnung.

Kommentare

Ein Leak macht eine beliebte Youtube-Streamingapp zu einer potenziellen Malware-Schleuder. (Bild: pixabay.com / muhammadsaqii786) (pixabay.com / muhammadsaqii786)

Werbefreies Youtube-Streaming: Smarttube-App funktioniert plötzlich nicht mehr

Eine Signatur des Entwicklers von Smarttube ist geleakt. Anwendern drohen manipulierte Updates. Google Play Protect blockiert daher die App.

2 Kommentare

Codeformatierer bringen Ordnung in unstrukturierten Code. (Bild: pixabay.com / yatsusimnetcojp) (pixabay.com / yatsusimnetcojp)

Von Nutzern eingefügt: Forscher finden brisanten Datenschatz bei Codeformatierern

Wer Online-Codeformatierer verwendet, sollte besser genau prüfen, was er dort eingibt. Oft gelangen Schlüssel und andere brisante Daten ins Netz.

11 Kommentare

Nur ein falscher Klick kann KI-Browser dazu verleiten, bösartige Anweisungen auszuführen. (Bild: pixabay.com) (pixabay.com)

Prompt Injection: Mehrere KI-Browser mit nur einem Zeichen überlistet

Eine Raute am Ende einer URL lässt KI-Assistenten nachfolgenden Text als Anweisung interpretieren. Das ermöglicht Datenklau und mehr.

4 Kommentare

Seminar: Microsoft 365 Copilot Administration: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: Keycloak – Sicheres Identity- & Access-Management: virtueller Drei-Tage-Workshop

zum Kurs

Seminar: Container Management und Orchestrierung: virtueller Drei-Tage-Workshop

zum Kurs

Seminar: Web Development mit React, TypeScript & Next.js: virtueller Drei-Tage-Workshop

zum Kurs

So manch eine Cloud hat ungeahnte Lücken. (Bild: pixabay.com / Westark) (pixabay.com / Westark)

Fluent Bit: Große Clouddienste durch Bugs in Open-Source-Tool gefährdet

Konzerne wie AWS, Microsoft und Google setzen Fluent Bit ein. Angreifer hätten deren Cloudsysteme durch Sicherheitslücken kapern können.

5 Kommentare

Eine gefährliche Sicherheitslücke gefährdet Windows-Systeme. (Bild: pixabay.com / Impermanent) (pixabay.com / Impermanent)

Malware im Anmarsch: Kritische Windows-Lücke ermöglicht Angriffe über JPEG-Daten

Forscher warnen vor einer kritischen Sicherheitslücke in einer Windows-Bibliothek. Angreifer können über JPEG-Bilddaten Schadcode einschleusen.

4 Kommentare

Angreifer haben Daten der Iberia-Kundschaft erbeutet. (Bild: THOMAS COEX/AFP via Getty Images) (THOMAS COEX/AFP via Getty Images)

Datenleck bei Iberia: Spaniens größte Airline bestätigt Abfluss von Kundendaten

Angreifer sind offenbar über einen Dienstleister an Iberia-Kundendaten gelangt. Die Airline informiert Betroffene mit einem Schreiben.

Kommentare

Microsoft merkt nach Monaten, dass zentrale Windows-11-Funktionen Probleme machen. (Bild: pixabay.com / max-i-m) (pixabay.com / max-i-m)

Microsoft gesteht: Kernfunktionen von Windows 11 seit Monaten kaputt

Seit dem Juli-Patchday haben einige Anwender Probleme mit zentralen Windows-11-Funktionen wie dem Startmenü, der Taskleiste und dem Explorer.

16 Kommentare

7-Zip-Nutzer sollten zeitnah die neueste Version einspielen. (Bild: pixabay.com / OpenClipart-Vectors) (pixabay.com / OpenClipart-Vectors)

Sicherheitslücke wird ausgenutzt: Angreifer attackieren 7-Zip-Nutzer

Ältere Versionen des Packprogramms 7-Zip weisen eine gefährliche Schadcode-Lücke auf, die inzwischen ausgenutzt wird. Nutzer sollten handeln.

5 Kommentare

Angreifer nutzen die Verflechtungen von Cloudsoftware zunehmend aus. (Bild: BrianPenny / Pixabay) (BrianPenny / Pixabay)

Security: SaaS-Plattformen als neue Schwachstelle besser schützen

Über kompromittierte OAuth-Tokens greifen Lecks bei SaaS-Diensten rasend schnell um sich. Was Firmen jetzt tun sollten.

Kommentare / Eine Analyse von Steffen Zahn

Woher der Begriff Acid eigentlich kommt, ist etwas unklar. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: 303 für alle!

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Forscher aus Wien griffen massenhaft Daten von Whatsapp-Nutzern ab. (Bild: Chris McGrath/Getty Images) (Chris McGrath/Getty Images)

Scraping: Daten von 3,5 Milliarden Whatsapp-Konten abgegriffen

Ein Forscherteam aus Wien konnte bei Whatsapp Daten von Nutzern auf der ganzen Welt ausleiten - darunter Rufnummern und Profilbilder.

4 Kommentare

Ein Programmierer hat auf einem iPhone iPad-Funktionen zum Laufen bekommen. (Symbolbild) (Bild: Tobias Költzsch/Golem) (Tobias Költzsch/Golem)

Apple: Exploit macht aus iPhone ein iPad mit Multitasking

Dank der Modifikation einer Datei auf dem iPhone gibt sich dieses als iPad aus - und verfügt dann über Funktionen wie Multitasking.

3 Kommentare

Anwender sollten ihre Chrome-Browser dringend updaten. (Bild: Brandon Bell/Getty Images) (Brandon Bell/Getty Images)

Sicherheitslücke in V8: Hacker attackieren Chrome-Nutzer über Javascript-Engine

Zur Ausnutzung der Chrome-Lücke reicht der bloße Aufruf einer bösartigen Webseite. Angreifer können daraufhin Schadcode zur Ausführung bringen.

4 Kommentare

Logitech hat ein Datenleck eingeräumt. (Bild: Denis Balibouse/Reuters) (Denis Balibouse/Reuters)

Ransomware: Kunden- und Mitarbeiterdaten von Logitech gehackt

Der Zubehörhersteller Logitech hat ein Datenleck eingeräumt. Der Angriff erfolgte wohl über Oracle-Software.

7 Kommentare

Checkout.com spendet nach Hackerangriff an Cybercrime-Forscher. (Bild: pixabay.com / Brett_Hondow) (pixabay.com / Brett_Hondow)

Nach Cyberangriff: Zahlungsdienstleister wischt Hackern mittels Spende eins aus

Ein Cyberangriff hat den Zahlungsdienstleister Checkout.com getroffen. Dieser zahlt das Lösegeld - allerdings nicht an die Angreifer.

13 Kommentare

Einige Systeme werden automatisch auf Windows 11 25H2 aktualisiert. (Bild: pixabay.com / PabitraKaity) (pixabay.com / PabitraKaity)

Betriebssystem: Microsoft erzwingt Upgrade auf Windows 11 25H2

Nicht mehr unterstützte Windows-11-Versionen werden ab sofort automatisch auf 25H2 aktualisiert. Der Support verlängert sich damit um zwei Jahre.

16 Kommentare

Task-Manager-Instanzen beeinträchtigen Systemressourcen. (Bild: Task-Manager / Screenshot) (Task-Manager / Screenshot)

Windows 11: Microsoft fixt den speicherfressenden Task-Manager

Ein Ende Oktober eingeführter Bug im Task-Manager von Windows 11 führt zu Leistungseinbußen. Das November-Update liefert eine Korrektur.

Kommentare

Beim Miniatur Wunderland sind Zahlungsdaten aus dem Ticketshop abgeflossen. (Bild: pixabay.com / HoustonRS) (pixabay.com / HoustonRS)

Ticketshop infiltriert: Hacker erbeutet Kreditkartendaten von Miniatur Wunderland

Das Miniatur Wunderland Hamburg ist Ziel einer Cyberattacke geworden. Der Angreifer konnte wohl vollständige Kreditkartendaten abgreifen.

44 Kommentare

Windows-Nutzer sollten sich mit der Installation der November-Updates beeilen. (Bild: AFP/AFP via Getty Images) (AFP/AFP via Getty Images)

Sicherheitslücke: Angreifer attackieren den Windows-Kernel

Windows-Nutzer sollten zeitnah die neuesten Patches einspielen. Microsoft warnt vor laufenden Attacken über eine Sicherheitslücke im Kernel.

2 Kommentare

Windows-10-Nutzer erhalten ein Notfallupdate. (Bild: MONEY SHARMA/AFP via Getty Images) (MONEY SHARMA/AFP via Getty Images)

Auch ohne ESU: Windows 10 erhält trotz Supportende noch ein Update

Einen Monat nach dem offiziellen Supportende verteilt Microsoft noch ein Notfallupdate für Windows 10. Sicherheitslücken schließt es allerdings nicht.

Kommentare

Viele Entwickler hinterlassen versehentlich Anmeldedaten im Quellcode. (Bild: pexels.com / Markus Spiske) (pexels.com / Markus Spiske)

Leaks auf Github: Top-KI-Unternehmen haben ihre Keys nicht im Griff

Forscher haben auf Github allerhand private Schlüssel, Tokens und weitere Anmeldedaten von einem Großteil der Forbes AI 50 entdeckt.

1 Kommentare

Ruter untersucht Yutong-Bus auf mögliche Sicherheitsrisiken. (Bild: Ruter) (Ruter)

Fernzugriff aus China: Briten untersuchen ihre Elektrobusse auf Kill-Switch

Eine Untersuchung aus Norwegen ruft weitere Behörden auf den Plan. Der chinesische Hersteller Yutong soll aus der Ferne seine E-Busse lahmlegen können.

12 Kommentare

Sicherheit: an - wenn das mal immer so einfach wäre. (Bild: BiljaST/Pixabay) (BiljaST/Pixabay)

Security: Malware direkt aus der Handyfabrik

Dass Malware nicht nur auf Software, sondern auch auf Hardware kommt, wurde uns erst bewusst, als wir betroffen waren. Wie kann das sein?

5 Kommentare / Ein Bericht von Markus Feilner

Drei Sicherheitslücken gefährden Docker-Hosts. (Bild: pixabay.com / planet_fox) (pixabay.com / planet_fox)

Sicherheitslücken in RunC: Angreifer können aus Docker-Containern ausbrechen

Administratoren sollten aufpassen, welche Docker-Images sie nutzen. Angreifer können sich Root-Zugriff auf das Hostsystem verschaffen.

1 Kommentare

Das Samsung Galaxy S24 ist eines der mit Landfall attackierten Smartphone-Modelle. (Bild: JUNG YEON-JE/AFP via Getty Images) (JUNG YEON-JE/AFP via Getty Images)

Spionage: Samsung-Nutzer mit bisher unbekannter Spyware attackiert

Angreifer nutzen schon seit Mitte 2024 eine Zero-Day-Lücke in Samsung-Smartphones aus, um eine bisher unbekannte Spyware einzuschleusen.

7 Kommentare

Der Verdacht, dass ChatGPT die Google-Suche verwendet, besteht schon länger. (Bild: Reuters) (Reuters)

ChatGPT und Google-Suche: Private KI-Prompts in Google Search Console gefunden

Der Verdacht, dass OpenAI die Google-Suche für ChatGPT-Anfragen verwendet, wird durch diese Erkenntnisse erhärtet.

3 Kommentare

Einige häufig genutzte Passwörter orientieren sich am Aufbau der Tastatur. (Bild: pixabay.com / wiegerwaardenburg) (pixabay.com / wiegerwaardenburg)

Neue Untersuchung: Das sind die am häufigsten geleakten Passwörter 2025

Wer "123456" als Passwort verwendet, ist damit nicht allein. Millionen anderer Menschen tun das ebenfalls. Ob das schlimm ist, hängt vom Kontext ab.

18 Kommentare

Die Datenbank von HaveIBeenPwned wurde um fast zwei Milliarden Datensätze erweitert. (Bild: pixabay.com / methodshop) (pixabay.com / methodshop)

Milliarden Passwörter: HaveIBeenPwned erhält größtes Daten-Update aller Zeiten

Sicherheitsforscher haben E-Mail-Adressen und Passwörter aus Credential-Stuffing-Listen zusammengetragen - für HIBP der bisher größte Datensatz.

3 Kommentare

Yutong-Busse sind ständig per Mobilfunk vernetzt. (Bild: ANTOINE BOUREAU/Hans Lucas/AFP via Getty Images) (ANTOINE BOUREAU/Hans Lucas/AFP via Getty Images)

Fernzugriff per SIM-Karte: Auch dänische Elektrobusse aus China steuerbar

Der Hersteller Yutong kann seine Elektrobusse theoretisch jederzeit aus der Ferne lahmlegen. In Dänemark sind die Fahrzeuge großflächig im Einsatz.

6 Kommentare

Seit Jahren wird beim Louvre auf veraltete IT-Systeme hingewiesen. (Bild: Julie Sebadelha/AFP via Getty Images) (Julie Sebadelha/AFP via Getty Images)

Raubüberfall auf den Louvre: Museum hat jahrelang "Louvre" als Kennwort genutzt

In Sicherheitsüberprüfungen hat der Louvre immer wieder katastrophal schlecht abgeschnitten. Das Museum hat veraltete Software und unsichere Passwörter verwendet.

18 Kommentare

BSI-Präsidentin Claudia Plattner fordert Straffreiheit für ethische Hacker. (Bild: Omer Messinger/Getty Images) (Omer Messinger/Getty Images)

Hackerparagraf: BSI-Chefin fordert Straffreiheit für ethische Hacker

Die Reform des Hackerparagrafen ist seit Jahren geplant. Die neue Regierung prüft das Thema noch.

4 Kommentare

Microsoft bestätigt verwirrenden Anzeigefehler unter Windows 10. (Bild: pixabay.com / JME1007) (pixabay.com / JME1007)

Sicherheitsupdates: Windows 10 verwirrt Nutzer mit Anzeigefehler zum Supportende

Einige Windows-10-Systeme zeigen trotz bestehendem Support oder ESU-Lizenz an, nicht mehr unterstützt zu werden. Laut Microsoft ist das ein Bug.

Kommentare

Unzählige Cisco-Geräte sind weiterhin anfällig für eine alte Sicherheitslücke. (Bild: Justin Sullivan/Getty Images) (Justin Sullivan/Getty Images)

Seit zwei Jahren ungepatcht: 15.000 Cisco-Geräte mit Malware infiziert

Angreifer bedienen sich einer seit 2023 bekannten Sicherheitslücke, um Cisco-Geräte zu kompromittieren. Entfernte Malware kommt ständig zurück.

6 Kommentare

Einige Elektrobusse aus China bergen erhebliche Cyberrisiken. (Bild: pixabay.com / Pexels) (pixabay.com / Pexels)

Cyberbedrohung: China kann jederzeit Norwegens Elektrobusse lahmlegen

Möglich ist das aufgrund einer in den Bussen verbauten SIM-Karte, über die OTA-Updates bezogen werden. Die potenziellen Folgen sind weitreichend.

73 Kommentare

Eine aktiv ausgenutzte Sicherheitslücke gefährdet unzählige Windows-Nutzer. (Bild: pixabay.com / geralt) (pixabay.com / geralt)

Attacken auf EU: Ungepatchte Windows-Lücke wird seit Jahren ausgenutzt

Die Sicherheitslücke ist Microsoft schon seit über einem Jahr bekannt. Bisher lehnt der Konzern es jedoch ab, einen Patch bereitzustellen.

25 Kommentare

Mit den Tools von Cellebrite lassen sich zahlreiche Smartphones entsperren. (Bild: Youtube / Cellebrite (Screenshot)) (Youtube / Cellebrite (Screenshot))

GrapheneOS schützt: Diese Pixel-Smartphones kann das FBI mit Cellebrite auslesen

Im Netz kursiert eine neue Support-Matrix von Cellebrite. Pixel-Geräte mit GrapheneOS lassen sich wohl schwieriger knacken als mit Standard-Android.

30 Kommentare

Der Manager nahm zwar viel Geld ein, doch nun drohen ihm saftige Strafen. (Bild: pixabay.com / nadjadonauer) (pixabay.com / nadjadonauer)

Rüstungskonzern L3Harris: US-Manager hat Exploits an Russen verkauft

Ein Manager hat durch den Handel mit Exploit-Komponenten etwa 1,3 Millionen US-Dollar eingenommen. Der Schaden bei L3Harris ist jedoch weitaus größer.

1 Kommentare

Die Browser der meisten Internetnutzer sind angreifbar. (Bild: pixabay.com / TBIT) (pixabay.com / TBIT)

Kein Fix verfügbar: Milliarden von Webbrowsern lassen sich in Sekunden crashen

Eine bisher ungepatchte Sicherheitslücke betrifft Nutzer Chromium-basierter Browser. Die Software lässt sich sekundenschnell zum Absturz bringen.

55 Kommentare

Angreifer hätten Flugpiloten über ein Testkonto in die Irre führen können. (Bild: pixabay.com) (pixabay.com)

Collins Aerospace: Cockpit-Kommunikation mit Passwort "test" infiltriert

Bei Collins Aerospace ist wohl ein schlecht geschütztes Testkonto in ein Produktivsystem gelangt. Laut CCC konnte man Piloten darüber Nachrichten senden.

Kommentare

Angreifer können weltweit Hunderttausende von DNS-Servern "vergiften". (Bild: pixabay.com / qimono) (pixabay.com / qimono)

BSI warnt vor Bind-Lücke: Daten unzähliger DNS-Server manipulierbar

Angreifer können via Cache-Poisoning Datenverkehr auf eigene Domains umleiten. Allein in Deutschland sind laut BSI rund 40.000 DNS-Server anfällig.

Kommentare

Admins sollten Exchange Server 2016 und 2019 nicht länger am Netz lassen. (Bild: pixabay.com / Dimhou) (pixabay.com / Dimhou)

BSI schlägt Alarm: 92 Prozent aller deutschen Exchange-Server ohne Support

Microsoft Exchange Server 2016 und 2019 erhalten keine Sicherheitsupdates mehr. In Deutschland basieren aber noch unzählige Server auf diesen Versionen.

13 Kommentare

Ein Hack machte rumänische Häftlinge reich, doch am Ende flog alles auf. (Bild: pixabay.com / domitian) (pixabay.com / domitian)

Admin-Zugang gekapert: Insasse hackt Gefängnis-IT und macht Mithäftlinge reich

Aufgeflogen ist alles, weil Inhaftierte ihre Gier nicht im Griff hatten. Ein Millionenbetrag auf dem Konto eines Insassen ist dann doch etwas auffällig.

21 Kommentare