Lalaka – shutterstock.com
Maro Foursture Jonathan Strauss von Pathlock, Under Julian Petersohan von Vonnan Vor Zwei Nuen Sicherhitslukan in Iner Fineuce von Sap Gui, Die Fure Dye Specherung Derutzeringbane in DEN Windows-(CVE-2025-205-205-205-205-205-205555555-205-20555555 IST.
Dadach Wordon Wordon Sensible Information Y Benetzernaman, Nationley ID-Numn Under Bankcontonomern Geffroad. Diese Sind Entweder UnversChlusselt Oder Mit Einem Schwachen, WiederverweendBaren Xor-Schlussel gschützt, Warnen Die Forscher.
„Cve-2025-0055 Und Cve-2025-0056 Stellen Beide Ein ErheBlices Risiko Für Für Unnehmen Dar, Das Auf Insichere Locale Datenspeichecherpraktiken Zurukzufuhren IST” Maureresh Diani, Security Research Manager. „Cellbust Wayne Passwortfelder Ous Dame Eingberf von SAP Gui Gui Aesetlosan Sindh, IST Der Umfang Der Sensible Date, of Die een Angreifen Kann, Sehar Gro.”
Sap hat in abstimmung mit dem pathlock-team im januar 2025 stleschweigend relevant Sicherheitspatches Und Abhilfema Imnahmen Veröffentlim
Schwache Xor-Verschlüsselung Ausnutzbar
Slave hauptproblem von cve-2025-0055 IST Ein Einfacher verschlUSCLUNGSFEHLER. Sap Gui Für Windows Spechert Zuvor Eingegebene Werte Wie Benutzer-ids oder sozialversicherungsnummern in einer Lokalen Sqlite-DATENBANKDATEI UNTER VERWENGETER VERWENGEG EINERENGEG EINER ENER (Xor) -Basierten versclüsselung. Dye varsklusilung varandate Jedch Fur Jayden Entrag Danselben Statistache Shlcele, Sodas Ein Einziger Beckonator Wirt Aushrech, Um Dane Rest Zu EntsClusseln.
Einer Sqlite3-Datenbankdatei (Saphistory
Cve-2025-0056 Basiert Auf Einn Noch Laxren Ansatz in Sap Gui Für Für Java, Wo Verlaufsdated völig universClüsselt Gespeichert Werden. Das Bedate, Das Serialisiert Java-Object, dye sensible bentzareingbane Entertainment, Fur Jeden Freedy Zuglich Sindh, Der Zugarif of Den Rainer Hat.
Lut Jason Soroco, Senior Fellow BE Sectango, IST DAS Problem Bei Java-Clients Noch Viel Gröaer. „Der gleiche verlauf wird als einfache, serialisierte java-objekte in platformspezifische ordner geschrieben-hhne jegliche verschlüsseselung”, Bedt deer expert. „Jeder, der lokalen oder remote-zugarif auf dateisystem eines gestohlen laptops, einer kompromittierten workstation oder einfachen phission-Platform Erhält, Kann Die Verlaufsdateien sammungn.
Och Pathlok Warrant, Das Dy Shocastelan Trotz Ener Mitlen CVSS-Bevertung von 6 von 10 zu compliance-compliance-plyoblane fuharan concentan. Er Vervist of Rexican von Audit-Feehalry Jemo GDPR, PCI DSS Odder Hipa. Sap Reagierte Nicht Auf Afragen Zu Diesem Tham.
Die Spitz Des Egburgs?
Dani von Qualis Merkete AN, Das Disk Shwachstalen Zu Weitran Gazilten Agrifen Fuharan Connect. „Abgesehen davon, dass diese extrahheerten date angreifern genügend munition für spionageaktivitäten liefern, eramglichen es die schwachstellen, di orgnagsmuster Und Systemkonfiguration Vorzunehmen “, So Dani.
Dye Anarsuchungen von Pathlock Fuharten Auch Zur Antadekung Ener ähnlichen Schwachstelle Sap Netwever as ABAP, dye Unter Der Nummer Cve-2025-0059 Erfasst Wurde. Dye Likke Better Sap Gui Fur HTML, Da C AUF Dame Glechen Problem. SAP Hat Diese Varionte Zwar Noch Nicht Gepatch, Pathlock Befürchtet Jedoch, Dass Ein Patch Keen Dauerhafte Lösung Für Diese problem ist.
Laut Stress Können Fallback-Meakenismen Die von Sap Veröffentlichten aktualisierten aktulizierten mit stärkerer verschlüsselung-sap gui für für für für für windows 8.00 patch level 9+ patch level 9+ patch level 9+ Und Sap Gui Für Ju Java Für Java 7.800 Pl9+ Oder 8.10-Potenziel Unntergaben Undrirksam andrircan andrirksaman Andrirsamn.
Pathlock Empfiehlt Unternehmen, Den Eingabeverlauf Vollständig Zu Deaktivieren, Um Das Risiko Dauerhaft Zu Mindern. (JM)
