Am Patchday im Februar hat Google nur ein Sicherheitsupdate für seine Pixel-Serie veröffentlicht. Nutzen Angreifer die Lücke erfolgreich aus, können sie sich höhere Rechte verschaffen.

Patchday ohne Patches? Nicht ganz …

Offensichtlich stuft Google diesen Monat keine Android-Schwachstelle als besonders bedrohlich ein. Dementsprechend finden sich in der Februar-Sicherheitsmitteilung keine Hinweise auf Sicherheitspatches. Seit Juli 2025 schließt Google monatlich ihrer Einschätzung nach nur noch sehr gefährliche Lücken. Die verbleibenden Updates werden seitdem quartalsweise verteilt. Kommenden Monat wird es dann wahrscheinlich wieder mehr Updates geben.

Eine Schwachstelle (CVE-2026-0106 „hoch“) findet sich dann aber doch in einer Warnmeldung für Pixel-Geräte. Die Lücke betrifft den VPU-Treiber und nach erfolgreichen Angriffen verfügen Angreifer über höhere Nutzerrechte. Weitere Informationen zur Lücke sind derzeit nicht verfügbar. Wer ein noch im Support befindliches Pixel-Smartphone besitzt, sollte sicherstellen, dass das Patch-Level 2026-02-05 installiert ist.

Patchdays anderer Hersteller

Neben Google versorgen auch andere Hersteller wie Oppo und Samsung regelmäßig ausgewählte Geräte mit Sicherheitspatches. Diesen Monat hat etwa Samsung mehrere mit dem Bedrohungsgrad „hoch“ eingestufte Schwachstellen geschlossen. So können etwa Angreifer mit physischem Zugriff auf ein Smartphone unter Android 14, 15 und 16 eigene Befehle ausführen (CVE-2026-20980).

Besitzer von Androidgeräten des Herstellers sollten in den Einstellungen prüfen, ob das Sicherheitspatchpaket zum Download steht und es installieren. Bislang gibt es keine Berichte, dass Angreifer bereits an Schwachstellen ansetzen.

(des)

Die EU-Grenzagentur Frontex hat im November ihre Luftüberwachung auf die Gewässer vor Westafrika erweitert. Regelmäßige Einsätze erfolgen seitdem immer wieder von der Insel Santiago, die zu den Kapverden gehört. Für die Stationierung eines Flugzeugs war Frontex-Direktor Hans Leijtens selbst in die kapverdische Hauptstadt Praia gereist. Dort traf sich der Niederländer mit dem Staatsminister, dem Verteidigungs- sowie dem Innenminister und weiteren hochrangigen Regierungsmitgliedern.

Die Luftüberwachung von Praia aus ist der erste derartige Einsatz von Frontex in einem afrikanischen Land. An den Gesprächen zur technischen Umsetzung waren auch Behörden aus Portugal beteiligt – die beiden Länder arbeiten nach der Unabhängigkeit des Inselstaats Kap Verde auch zu maritimer Sicherheit eng zusammen. Nach Angaben eines Frontex-Sprechers stimmt sich die EU-Grenzagentur auch mit spanischen Behörden zu den Flügen ab.

Die zu Spanien gehörenden Kanarischen Inseln sind oft Ziel der Überfahrten von Booten mit Migrant*innen, die von Gambia, Guinea-Bissau, Senegal oder Mauretanien in Richtung Europa ablegen. Auf sie hat es Frontex abgesehen.

Hochgerüstete Überwachungsflugzeuge

Mit den ausgeweiteten Flügen ihrer „Multipurpose Aerial Surveillance“ will Frontex die EU-Migrationsabwehr verstärken. Bei privaten Firmen gecharterte Luftfahrzeuge halten dazu Ausschau in den Such- und Rettungsregionen im Atlantik vor Senegal und Mauretanien. Bei Sichtung eines Bootes informiert die Besatzung die zuständigen Behörden der westafrikanischen Länder. Deren Küstenwachen sollen die Menschen abfangen und zurückholen. Ein solches Pullback-System praktiziert Frontex bereits seit 2017 mit der Küstenwache in Libyen.

Allerdings startet die neue Frontex-Mission ohne ein neues Arbeitsabkommen mit den Kapverden. Wie aus einer aktuellen Antwort auf eine parlamentarische Anfrage hervorgeht, bezeichnet Frontex den aktuellen Betrieb deshalb als „Phase 1“. In diesem Zeitraum findet demnach kein erweiterter Austausch von Daten aus der Überwachung mit kapverdischen Behörden statt – dies soll erst nach Unterzeichnung einer entsprechenden Vereinbarung in „Phase 2“ erfolgen.

Auch ohne Abkommen zum Datentausch können in der „Phase 1“ Informationen zu gesichteten Booten an die Küstenwache der Kapverden übermittelt werden – jedenfalls in einem Seenotfall. Dies könne über das internationale Seerecht erfolgen, das im Rahmen von Such- und Rettungseinsätzen die Benachrichtigung von maritimen Leitstellen benachbarter Staaten vorschreibt, erklärt Frontex.

Kapverden benennen „Eurosur-Koordinierungszentrum“

Nach Unterzeichnung eines Arbeitsabkommens soll dann „Phase 2“ beginnen. Dann würde der Informationsaustausch zu Booten auf dem Weg zu den Kanaren über ein Lagezentrum der Marine erfolgen, das Kap Verde dafür benannt hat. Frontex bezeichnet dieses COSMAR, das Zentrum für maritime Sicherheitsoperationen, als „Eurosur-Koordinierungszentrum“. Eurosur ist das Überwachungsnetzwerk, an das seit 2014 alle Schengen-Staaten mit dem Frontex-Hauptquartier in Warschau vernetzt sind. Dorthin werden auch die von Flugzeugen aufgenommenen Videos in Echtzeit gestreamt.

Die Antwort auf die parlamentarische Anfrage gibt auch Auskunft zur Sensortechnik an dem bei der britischen Firma DEA mit einem Rahmenvertrag gecharterten Flugzeug. Dazu gehören eine giro-stabilisierte elektro-optische und Infrarot-Kamera mit Wärmebildfunktion und Tageslicht-Zoomkamera, außerdem ein AIS-Transponder zur Schiffsidentifikation und ein Seeüberwachungsradar.

Derartige Ausrüstung gilt als Dual-Use-Technik, die auch militärisch verwendet werden kann. Schiffe der zivilen Seenotrettung dürfen sie deshalb nicht erwerben oder einsetzen, ansonsten können sie auch wegen Spionage verfolgt werden.

„Operative Verbindungsbeamte“ in Warschau

Mit der Anbindung an Eurosur erhalten die „eingebetteten kapverdischen Behörden“ laut Frontex die gleichen Informationen wie Portugal und Spanien. Dazu stationiert die Regierung in „Phase 2“ außerdem „operative Verbindungsbeamte“ in Warschau. Umgekehrt will Frontex aber kein eigenes Personal auf den Kapverden stationieren.

Die Frontex-Mission von den Kapverden aus soll eine Lücke schließen, die gescheiterte Verhandlungen mit Senegal und Mauretanien hinterließen: Die EU-Grenzagentur wollte ursprünglich Statusabkommen mit diesen Ländern schließen, um auch dort operieren zu dürfen. Trotz vorheriger positiver Signale verweigerten die Regierungen jedoch entsprechende Gespräche.

Die Flüge von Praia erfolgen deshalb außerhalb der Zwölfmeilenzone von Senegal und Mauretanien und damit im internationalen Seegebiet. So zeigt es auch ein ADSB-Tracker für das Flugzeug.

Grundrechtsbeauftragter äußert sich kritisch

Auch der Frontex-Grundrechtsbeauftragte Jonas Grimheden hatte sich bereits mit den Flügen von Praia aus beschäftigt – und äußerte sich schon im Planungsstadium kritisch. Denn die Flugzeuge sollen Informationen über entdeckte Migrant*innen an Such- und Rettungsbehörden der betreffenden Staaten weitergeben. In Mauretanien und Senegal gibt es aber Berichte über Defizite beim Schutz der Menschenrechte. Deshalb hätten vor der Inbetriebnahme des Flugdienstes wirksame Schutzmaßnahmen eingeführt werden sollen, meint Grimheden.

Das Büro des Grundrechtsbeauftragten forderte daher einen Aktionsplan, der die Probleme adressiert. Besonders das Verbot des Non-Refoulement – also das Verbot, Menschen in Länder zurückzuschicken, wo ihnen Verfolgung droht – müsse darin berücksichtigt werden, so Grimheden.

Cisco Evolved Programmable Network Manager, Meeting Management, Prime Infrastructure, Secure Web Appliance und TelePresence Collaboration Endpoint sind verwundbar. Sind Attacken erfolgreich, kann Schadcode auf Systeme gelangen. Es kann außerdem zu Abstürzen kommen. Zurzeit gibt es seitens Cisco keine Hinweise darauf, dass Angreifer die Lücken bereits ausnutzen.

Mehrere Sicherheitslücken

Am gefährlichsten gilt eine Lücke (CVE-2026-20098 „hoch“) in Cisco Meeting Management. Für eine Attacke müssen Angreifer aber bereits authentifiziert sein. Ist diese Hürde genommen, können sie aufgrund von unzureichenden Überprüfungen über präparierte HTTP-Anfragen Systemdateien überschreiben. Klappt eine solche Attacke, sind Angreifer Root-Nutzer und kompromittieren Systeme aus dieser Position vollständig.

Eine DoS-Lücke (CVE-2026-20119) in TelePresence Collaboration Endpoint Software und RoomOS Software ist mit dem Bedrohungsgrad „hoch“ eingestuft. An dieser Stelle kann eine manipulierte Meetingeinladung Abstürze auslösen. So wie sich die Beschreibung der Lücke liest, muss ein Opfer dafür nicht mitspielen. Eine Annahme so einer Einladung ist demzufolge nicht nötig.

Nutzen Angreifer die verbleibenden Schwachstellen erfolgreich aus, sind XSS-Attacken (Prime Infrastructure, CVE-2026-20111 „mittel“) und Umleitungen auf eine bösartige Website möglich (Evolved Programmable Network Manager und Cisco Prime Infrastructure, CVE-2026-20123 „mittel“). Zusätzlich ist das Umgehen des Malware-Scanners im Kontext von Secure Web Appliance vorstellbar (CVE-2026-20056 „mittel“).

Weiterführende Informationen zu den Lücken und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:

(des)