-
Sandbox-Bypass öffnet Claude Code für Prompt-Injection-Angriffe
Ein eingebettetes Null-Byte in einem präparierten Hostnamen schleust Datenverkehr an der Netzwerk-Allowlist von Claude Code vorbei. In Kombination mit Prompt Injection ermöglicht der Bypass Datenabfluss aus KI-gestützten Entwicklungsumgebungen. Anthropic und der Entdecker streiten über den genauen Zeitpunkt der Korrektur.
-
Wie sicher sind Browser-Erweiterungen?
Browser-Erweiterungen entwickeln sich von praktischen Helfern im Arbeitsalltag zunehmend zu einem Einfallstor für Cyberangriffe. Systemhäuser müssen hier strategisch beratend denken und ihre Kunden bei der Risikoabwägung begleiten.
-
Operational Resilience braucht mehr als Technik und Prozesse
BCM und Cyber Security sind für Unternehmen und Behörden unverzichtbar, reichen aber allein nicht aus. Operational Resilience beschreibt die Fähigkeit, auch unter komplexen und dynamischen Bedingungen handlungsfähig zu bleiben. Entscheidend dafür ist nicht Technologie, sondern das Zusammenspiel von Strukturen, Prozessen und menschlichem Verhalten.
-
Ionos und Enginsight bündeln Kräfte für digitale Souveränität
Ionos und Enginsight stellen gemeinsam eine rechtssichere Cybersecurity-Plattform bereit. Diese soll eine souveräne Alternative zu globalen Hyperscalern sein und richtet sich an Unternehmen, den Mittelstand und den öffentlichen Sektor.
-
KI-Agenten brauchen Secrets und machen sie zur Angriffsfläche
KI-Agenten automatisieren heute ganze Entwicklungsprozesse und benötigen dafür eine Vielzahl von Zugangsdaten. Jedes neue Secret erweitert die Angriffsfläche. Statische, langlebige Credentials sind für diese Realität ungeeignet. Dynamisches Secrets Management mit kurzlebigen, kryptografisch gebundenen Maschinenidentitäten schließt diese Lücke.
-
Laravel-Lang-Stealer stiehlt Cloud-, Browser- und Vault-Daten
Sicherheitsforscher haben einen Supply-Chain-Angriff auf die PHP-Pakete der Laravel-Lang-Organisation dokumentiert. Die Angreifer schrieben über 700 Git-Tags um und betteten einen plattformübergreifenden Credential-Stealer ein, der Cloud-Zugänge, Browser-Daten und Passwort-Tresore abgreift. Die Schadroutine startet automatisch bei jedem Hochfahren einer Anwendung, die ein betroffenes Paket einbindet.
-
Kritische OFBiz-Lücken erlauben Codeausführung ohne Anmeldung
Apache OFBiz 24.09.06 behebt 17 Schwachstellen im Open-Source-ERP-System, darunter zwei kritische Lücken mit CVSS-Score 9.1 und eine mit 9.8, die nicht authentifizierte Codeausführung ermöglichen. Betroffen sind alle Versionen vor 24.09.06. Betreiber sollten schnellstmöglich aktualisieren.
-
Bayern testet Alternativen zu Microsoft
Bayerns Digitalministerium will die Verwaltung unabhängiger von einzelnen IT-Anbietern machen. In einer Testphase sollen Beschäftigte alternative Softwarelösungen im Arbeitsalltag erproben. Der Schritt folgt auf einen monatelangen Streit innerhalb der Staatsregierung über einen geplanten Rahmenvertrag mit Microsoft.
