Jeden Mittwoch informiert SiBa über Sicherheitsupdates verschiedener Hersteller von Soft-und Hardware. Diese Sicherheitsupdates schließen Sicherheitslücken, über die Hacker Schadsoftware ausführen, persönliche Daten abgreifen oder Abstürze von IT-Systemen verursachen können. Diese Woche haben die Hersteller Nvidia, Apple und Aruba Schwachstellen in ihren Produkten gemeldet, alle können mit Updates geschlossen werden.

iOS 15.5. & Co - Apple stellt Updates bereit

Das US-Unternehmen Apple hat für fast alle Produkte Sicherheitsupdates bereitgestellt, für das iPhone (iOS 15.5), für das iPad (iPadOS 15.5), für den Mac (macOS 12.4), für den Homepod, für die Apple Watch (watchOS 8.6) und für Apple TV (tvOS 15.5). Außerdem gibt es erstmals ein Firmwareupdate für das neue Studio-Display. Mit den Updates gehen neue Funktionen einher, zahlreiche Softwarefehler werden korrigiert, vorrangig werden aber Schwachstellen geschlossen. Konkrete Details nennt Apple nicht. Bekannt ist aber, dass Hacker über die Sicherheitslücken in Treibern, im WebKit, in der Printing-Schnittstelle oder in der WLAN-Unterstützung in Systeme eindringen und Schadsoftware ausführen können.

Eine der zahlreichen Lücken wurde tatsächlich schon ausgenutzt, weshalb das Bundesamt für Sicherheit in der Informationstechnik das Risiko als hoch bewertet.

SiBa rät zur raschen Installation der Updates. Anleitungen finden Sie in den Links.

Sicherheitsprobleme bei Nvidia Grafikkarten

Wer eine Grafikkarte von Nvidia in seinem Windows- oder Linux-PC verbaut hat, sollte das neuste Sicherheitsupdate installieren. Denn leider gibt es in den Treibern insgesamt vier Schwachstellen. Über eine davon können Kriminelle mit sogenannten "Shadern" Speicherfehler auslösen. Dadurch kommt es in der Regel zu Systemabstürzen, die von Hackern ausgenutzt werden können, um Systeme zu kompromittieren. Über die weiteren Sicherheitslücken können sich Angreifer Nutzerrechte verschaffen. 

Die erstgenannte Sicherheitslücke wird von Nvidia hinsichtlich des Risikos als hoch eingestuft, die weiteren als mittel.

SiBa rät zur Aktualisierung der Nvidia-Treiber, die zur Verfügung gestellt wurden. Die aktuellen Versionsnnummern lauten unter Windows: 453.51 (Tesla R450), 473.47 (Tesla R470, RTX/Quadro, NVS), 512.77 (GeForce R510) und 512.78 (RTX/Quadro, NVS). Die aktuellen Treiber für Tesla R510 und Studio R510 sollen am 23. Mai 2022 veröffentlicht werden. Eine Anleitung zur Installation neuer Treiber finden Sie in den Links.

Sicherheitslücken im ClearPass Policy Manager von Aruba

Aruba Networks, eine Tochterfirma von Hewlett Packard (HP), meldet Schwachstellen im Programm ClearPass Policy Manager. Über dieses können Administratoren Netzwerke verwalten, u.a. Zugänge regeln. Über die Sicherheitslücke wird genau diese Funktion ausgehebelt: Angreifer erhalten unmittelbar und uneingeschränkt Zugriffe. So können sie an vertrauliche Informationen gelangen oder personenbezogene Daten auslesen. Außerdem können sie sogenannte Stored-Cross-Site-Scripting-Angriffe ausführen, letztlich Schadsoftware ausführen. Betroffen sind die Versionen 6.10.4, 6.9.9 und 6.8.9-HF2.

Das Risiko wird als kritisch eingestuft.

SiBa rät Netzwerk-Administrierende in Unternehmen zur Installation der bereitgestellten Updates. Dabei ist zu berücksichtigen, dass bei älteren Versionen (zum Beispiel 6.7.x) der Support ausgelaufen ist. Diese sollten durch neuere Versionen ausgetauscht werden.