Kreativzentrum
  1. SicherheitschefStartseite
  2. Kurznachrichten
2. Juli 2025 - Mi.
08:31

Sicherheitslücke bei der Typverschleierung in der Google Chrome V8 Engine (CVE-2025-6554)

Schwachstelle Beschreibung

CVE-2025-6554 ist eine Typverwechslungsschwachstelle in der V8-Engine von Google Chrome. In Google Chrome vor Version 138.0.7204.96 kann ein entfernter Angreifer beliebige Lese- und Schreibvorgänge durchführen, indem er eine bösartige HTML-Seite erstellt.

Die Schwachstelle betrifft die Versionen

Die Google Chrome-Version ist niedriger als 138.0.7204.96.

Technische Details der Schwachstelle

CVE-2025-6554 ist eine Typverwechslungsschwachstelle in den V8 JavaScript- und WebAssembly-Engines. Schwachstellen in der Typverschleierung können schwerwiegende Folgen haben, da sie ausgenutzt werden können, um unerwartetes Softwareverhalten auszulösen, das zur Ausführung von beliebigem Code und zu Programmabstürzen führen kann.

Bewertung der Auswirkungen der Anfälligkeit auf die Oberfläche

Bei der Sicherheitslücke handelt es sich um eine Zero-Day-Schwachstelle, was bedeutet, dass Angreifer sie ausnutzen, bevor ein Fix verfügbar ist. In einem realen Angriff könnten diese Schwachstellen es Hackern ermöglichen, Spyware zu installieren, Drive-by-Downloads zu initiieren oder unbemerkt schädlichen Code auszuführen, manchmal auch einfach, indem sie Nutzer dazu bringen, bösartige Websites zu öffnen.

Die Schwachstelle wurde am 25. Juni 2025 von Clément Lecigne von der Threat Analysis Group (TAG) von Google entdeckt und gemeldet, was darauf hindeutet, dass sie möglicherweise für einen gezielten Angriff genutzt wurde, an dem möglicherweise staatlich finanzierte Angreifer oder Überwachungsmaßnahmen beteiligt waren.

Google wies außerdem darauf hin, dass das Problem am nächsten Tag durch eine Konfigurationsänderung entschärft wurde, die für alle Plattformen in den Stable-Release-Channel übernommen wurde. Für normale Nutzer bedeutet dies, dass die Bedrohung zwar noch nicht weit verbreitet ist, aber dennoch dringend gepatcht werden muss, insbesondere wenn Sie mit sensiblen oder hochwertigen Daten arbeiten.

CVE-2025-6554 ist nach CVE-2025-2783, CVE-2025-4664 und CVE-2025-5419 die vierte Zero-Day-Schwachstelle in Chrome, die Google seit Anfang des Jahres behoben hat. Es ist jedoch unklar, ob CVE-2025-4664 böswillig ausgenutzt wurde.

Empfehlungen zur Behebung von Schwachstellen

Zum Schutz vor möglichen Bedrohungen wird empfohlen, Chrome auf 138.0.7204.96/.97 für Windows, 138.0.7204.92/.93 für macOS und 138.0.7204.96 für Linux zu aktualisieren.

Wenn Sie sich nicht sicher sind, ob Ihr Browser auf dem neuesten Stand ist, gehen Sie zu Einstellungen > Hilfe > Über Google Chrome - es sollte automatisch das neueste Update aktiviert werden. -Er sollte automatisch das letzte Update auslösen. Für Unternehmen und IT-Teams, die mehrere Endgeräte verwalten, ist es wichtig, die automatische Patch-Verwaltung zu aktivieren und die Einhaltung der Browser-Versionen zu überwachen.

Nutzern anderer Chromium-basierter Browser wie Microsoft Edge, Brave, Opera und Vivaldi wird ebenfalls empfohlen, die Korrektur anzuwenden, sobald sie verfügbar ist.

13. Juni 2025 - Pater Kentenich.
10:06

Chinas erste Serie von Pilotverträgen für Sub-Cybersecurity-Versicherungsdienstleistungen umfasste mehr als 1.500

Chinas erstes Pilotprojekt für Sicherheitsversicherungen für Teilnetze erzielte bemerkenswerte Ergebnisse: Mehr als 1 500 Unternehmen schlossen Verträge mit einer Gesamtprämie von mehr als 150 Millionen Yuan und einer Gesamtversicherungssumme von fast 11,5 Milliarden Yuan ab. Die Versicherungspolicen zur Betrugsbekämpfung für Einwohner überstiegen 2 Millionen Policen mit einer Gesamtprämie von über 24 Millionen Yuan und einer Gesamtversicherungssumme von über 100 Milliarden Yuan. Die Cybersicherheitsversicherung als innovative Verbindung von Cybersicherheit und Finanzdienstleistungen trägt dazu bei, die Fähigkeit von Unternehmen zur Bewältigung von Cybersicherheitsrisiken zu verbessern, die digitale Transformation kleiner und mittlerer Unternehmen zu fördern, ein sozialisiertes Dienstleistungssystem für Cybersicherheit aufzubauen und die hochwertige Entwicklung der Cybersicherheitsbranche zu fördern.

24. Januar 2025 - Pater Kentenich
06:06

AdsPower Fingerprint Browser Hacking Vorfall

Der AdsPower Fingerprint Browser hat eine Sicherheitslücke aufgedeckt. Wenn Sie AdsPower verwenden und zwischen dem 21. Januar 18:00 Uhr und dem 24. Januar 18:00 Uhr (UTC+8) eine Erweiterungs-Wallet installiert oder manuell aktualisiert haben, dann kann die Erweiterungs-Wallet (z. B. MetaMask usw.) auf Ihrem AdsPower die Version mit der Hintertür sein, die Hintertür wird Ihren Helfer/privaten Schlüssel stehlen.
Die offizielle Ankündigung finden Sie unten:
Lieber Benutzer.

Am 24. Januar 2025 entdeckte das AdsPower-Sicherheitsteam, dass einige der Crypto-Wallet-Plugins in böser Absicht ausgetauscht worden waren. Wir nehmen dies sehr ernst und haben das Problem bei der ersten Gelegenheit behoben, um die Sicherheit Ihrer Daten zu gewährleisten.

Wenn Sie das Encrypted Wallet Plugin zwischen dem 21. Januar 18:00 Uhr und dem 24. Januar 18:00 Uhr (UTC+8) aktualisiert oder installiert haben, empfehlen wir Ihnen, das Plugin erneut zu installieren und Gelder an die neue Secure Wallet Adresse zu überweisen, um Ihr Vermögen zu schützen.

Wenn Sie während dieser Zeit nicht arbeiten oder keine In-App-Benachrichtigung von uns erhalten, müssen Sie sich keine Sorgen machen, Ihr Konto ist sicher.

Wir verstehen jedoch, dass diese Situation Sie möglicherweise beunruhigt und verunsichert hat. Um die Angelegenheit weiter zu untersuchen und sicherzustellen, dass sie gründlich aufgeklärt wird, haben wir Slow Fog Technology eingeladen
@SlowMist_Team
Beteiligung an der Untersuchung und der Sammlung von Beweisen.

Wenn Sie Fragen haben oder Hilfe benötigen, können Sie uns gerne über unseren Online-Kundendienst in der rechten unteren Ecke des Client-Terminals oder per E-Mail (support@adspower.net) kontaktieren.

Wir danken Ihnen für Ihr Verständnis und Ihre Unterstützung. Das AdsPower-Team wird weiterhin hart daran arbeiten, Ihnen sichere und zuverlässige Dienste zu bieten.

AdsPower-Team

AdsPower Fingerprint Browser Hacking Vorfall
21. Januar 2025 - Di.
02:01

Verhaftung von 70.000 Personen und Rettung von mehr als 160 Personen: China und viele Länder bekämpfen gemeinsam den Strombetrug

Von August bis Dezember 2024 organisierte und führte das Lancang Law Enforcement Cooperation Centre die gemeinsame Strafverfolgungsoperation "Seagull" durch, bei der die Strafverfolgungsbehörden Kambodschas, Chinas, der Demokratischen Volksrepublik Laos, Myanmars, Thailands und Vietnams koordiniert wurden, um gemeinsam gegen den regionalen Telekommunikationsnetzbetrug und dessen Derivate sowie gegen den Schmuggel von Schusswaffen und Munition vorzugehen. Im Laufe der Operation wurden mehr als 160 Fälle verschiedener Art, vor allem im Bereich des Kabelbetrugs, aufgeklärt, mehr als 70.000 Verdächtige verhaftet und mehr als 160 Opfer gerettet.
In diesem Jahr wird das Zentrum zu gegebener Zeit die zweite Phase der gemeinsamen Operation "Seagull" einleiten und sich weiterhin auf die Bekämpfung des Betrugs in Telekommunikationsnetzen und der daraus abgeleiteten Straftaten konzentrieren, insbesondere auf die Rettung verirrter und eingeschlossener Personen aus verschiedenen Ländern, um die Sicherheit von Leben und Eigentum der Menschen in verschiedenen Ländern der Region sowie die regionale Sicherheit und Stabilität wirksam zu schützen.

20. November 2024 - Mi.
00:30

Gesundheitsindustrie gibt Daten von über 235.000 Patienten weiter, Gesundheitsorganisationen zahlen über 10 Millionen Dollar Schadenersatz

Kürzlich hat ein Gericht im US-Bundesstaat New York vorläufig eine Vergleichsvereinbarung über 1,5 Millionen Dollar (10,86 Millionen Rupien) für eine Sammelklage gegen One Brooklyn Health System genehmigt. Die Klage geht auf einen Cyberangriff im November 2022 zurück, bei dem sensible Gesundheitsdaten von mehr als 235.000 Menschen abgegriffen wurden.
Im Rahmen des vorgeschlagenen Vergleichs können anspruchsberechtigte Mitglieder der Sammelklage Ansprüche auf bis zu 2.500 US-Dollar an tatsächlichem Schadenersatz sowie eine Entschädigung für die Zeit, die sie mit der Bewältigung der Folgen der Datenschutzverletzung verbracht haben, geltend machen (bis zu vier Stunden zu 25 US-Dollar pro Stunde).

22. August 2024 - Do.
07:14

Gebote von Brancheninsidern", 300.000 Informationen über Hausbesitzer durchgesickert.

Kürzlich hat das Büro für öffentliche Sicherheit der Stadt X in der Provinz Shandong einen Fall von Veruntreuung persönlicher Daten von Bürgern aufgeklärt und über 60 Verdächtige festgenommen. Die Verdächtigen nutzten die Identität von Immobilienverkäufern, um Namen, Handynummern, Hausnummern, Haushaltstypen, Personalausweisnummern und Informationen über Bankkredite an Dekorations-, Haushaltsgeräte- und Möbelfirmen zu verkaufen, was mehr als 300.000 Informationen umfasste. "Die Preise liegen zwischen 0,5 Yuan und 10 Yuan pro Stück. Ältere Stadtteile sind aufgrund der mangelnden Bereitschaft der Eigentümer zur Renovierung relativ günstig, während neuere Stadtteile, Stadtteile, die kurz vor der Übergabe stehen, und Villenviertel etwas teurer für die Informationen der Eigentümer sind". In dem Fall geht es um mehr als 200.000 Yuan. Die Polizei wird die Ermittlungen fortsetzen und die Unternehmen daran erinnern, den Datenschutz zu verstärken und die Öffentlichkeit für den Schutz persönlicher Daten zu sensibilisieren. Sobald das Leckverhalten festgestellt wird, sollte die Polizei rechtzeitig die Rechte und Interessen der Betroffenen schützen.

24. Juli 2024 - Mi.
00:01

Künstliche Intelligenz Sicherheit Regulierungssystem für Cybersecurity Institution Building

Die Nachrichtenagentur Xinhua wurde ermächtigt, den Beschluss des Zentralkomitees der Kommunistischen Partei Chinas über die weitere umfassende Vertiefung der Reformen zur Förderung der Modernisierung Chinas zu veröffentlichen, in dem die Stärkung des Netzsicherheitssystems und die Einrichtung eines Sicherheitsüberwachungssystems für künstliche Intelligenz erwähnt werden.

1. Juni 2024 - Sa.
02:20

Massive Verletzung des Schutzes sensibler personenbezogener Daten bei kanadischer Gesundheitsorganisation

Am 30. Mai 2024 meldete die Ransomware-Gruppe Qiulong angeblich einen schwerwiegenden Datenschutzverstoß bei der Indigo ENT Group, einem Unternehmen aus der Krankenhaus- und Gesundheitsbranche mit Sitz in Coquitlam, British Columbia, Kanada. Laut einem von der Organisation verbreiteten Posting waren sie mehrere Wochen lang in das Netzwerk von Indigo ENT eingedrungen und behaupteten, in dieser Zeit Tausende von persönlichen, vertraulichen und geschützten Gesundheitsdaten sowie persönliche Daten von Patienten gestohlen zu haben.

Massive Verletzung des Schutzes sensibler personenbezogener Daten bei kanadischer Gesundheitsorganisation
02:02

Massive Datenpanne mit sensiblen Nutzerinformationen bei peruanischer Kreditbank

Die Datenbank von BCP Peru wurde mutmaßlich kompromittiert und zum Download bereitgestellt. Die angeblich kompromittierten Daten umfassten 57 694 Zeilen mit sensiblen Kundeninformationen wie Kartentyp, Ausgabeart, Bankleitzahl, Name des Karteninhabers, Name des Kontoinhabers, Wohnanschrift, Bundesland des Wohnsitzes, Kunden-ID und Haupttelefonnummer. Wenn dies zutrifft, stellt das Eindringen in die Daten ein erhebliches Risiko für die betroffenen Personen dar und könnte zu Identitätsdiebstahl, Finanzbetrug und anderen bösartigen Aktivitäten führen.

Massive Datenpanne mit sensiblen Nutzerinformationen bei peruanischer Kreditbank
01:57

Massive Verletzung medizinischer Daten bei US-Gesundheitsunternehmen

Ein großer US-amerikanischer Gesundheitsdienstleister verkauft 1,5 Terabyte an sensiblen Patientendaten über unbefugtes FTP. Der Zugang bestand aus umfangreichen Patientendateien mit detaillierten persönlichen Informationen. Bei der Art des Zugangs handelt es sich um einen FTP-Zugang mit Write-to-Download-Funktionalität, der es potenziellen Käufern ermöglicht, die Daten nach eigenem Gutdünken zu manipulieren. Die Daten haben eine Größe von 1,5 Terabyte und sind bis zum 30. Januar 2024 zugänglich.

Die Patientendateien enthalten eine Fülle von persönlichen Informationen, darunter Adresse, Patientenname, Geburtsdatum, Sozialversicherungsnummer (SSN), Geschlecht, Telefonnummer und mehr. Schockierenderweise aktualisiert und bearbeitet das Unternehmen diese Daten aktiv und täglich. Obwohl es seit dem 2. März 2024 zum Verkauf angeboten wird, bleibt es unverkäuflich. Die betroffenen Organisationen umfassen mehr als 50 Einrichtungen in den USA, so dass die potenziellen Auswirkungen dieses Verstoßes weitreichend sind.

Durchsickern von Dateninformationen:

Zugangsart: FTP mit Write-to-Download-Funktionalität
Datenmenge: 1,5 TB
Produkteinführungszeit: bis zum 30. Januar 2024
Was: Vollständige Patientenakte, einschließlich Adresse, Patientenname, Geburtsdatum, Sozialversicherungsnummer (SSN), Geschlecht, Telefonnummer usw.
UPDATE: Das Unternehmen aktualisiert und bearbeitet die Daten täglich aktiv. Obwohl es seit dem 2. März 2024 zum Verkauf steht, ist es immer noch unverkauft.
Umfang: Die Ziele umfassen mehr als 50 Betriebe in den Vereinigten Staaten.

Massive Verletzung medizinischer Daten bei US-Gesundheitsunternehmen
Weitere Themen laden