Wer weitverbreitete Webbrowser wie Googles Chrome oder Mozillas Firefox einsetzt, sollte zügig die bereitstehenden Aktualisierungen anwenden. Sie schließen als kritisches Risiko eingestufte Sicherheitslücken, die Angreifern unter anderem Codeschmuggel ermöglichen.

Webbrowser Google Chrome

Google-Entwickler arbeiten inzwischen offenbar auch mit KI zur Schwachstellensuche, die aktualisierten Versionen 147.0.7727.137 (Android, Linux) und 147.0.7727.137/138 (macOS, Windows) stopfen 30 Sicherheitslücken auf einen Schlag – seit einigen Wochen ist hier eine deutliche Erhöhung der gefundenen und korrigierten Sicherheitslecks zu beobachten. In der Versionsankündigung deuten sie knapp an, in welchen Komponenten des Browsers welcher Schwachstellentyp mit welchem Schweregrad gefunden wurde. Demnach können Angreifer etwa mit manipulierten Webseiten eine Use-after-free-Lücke in der Canvas-Komponente von Chrome unter Linux oder ChromeOS zum Ausführen von beliebigem Code in einer Sandbox missbrauchen (CVE-2026-7363, kein CVSS, Risiko laut Google „kritisch“). Unter iOS hat Chrome ebenfalls eine Use-after-free-Schwachstelle, die beim Verarbeiten von manipulierten Webseiten Speicher auf dem Heap durcheinander bringt (CVE-2026-7361, kein CVSS, Risiko laut Google „kritisch“).

Unter Windows gibt es bei den Barrierefreiheitsroutinen in Chrome eine Use-after-free-Lücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7344, kein CVSS, Risiko „kritisch“). Im User-Interface-Framework Views klafft ebenfalls eine Use-after-free-Sicherheitslücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7343, kein CVSS, Risiko „kritisch“). Bei Use-after-free-Schwachstellen nutzt der Programmcode bereits freigegebene Ressourcen, wodurch dort undefinierte Inhalte liegen – was sich oftmals etwa zum Ausführen von eingeschleustem Schadcode missbrauchen lässt. 23 weitere Sicherheitslücken stuft Google als hohes Risiko ein.

Firefox-Webbrowser

Die Mozilla-Foundation hat derweil die Versionen Firefox 150.0.1, Firefox ESR 140.10.1 und Firefox ESR 115.35.1 herausgegeben. Sie eint gemeinsame Sicherheitslücken, die die Speichersicherheit betreffen, also etwa Zugriffe außerhalb vorgesehener Speicherbereiche ermöglichen. Die Entwickler gehen jedoch nicht in die Details (CVE-2026-7322, CVSS 7.3 (laut CISA), Risiko nach Mozilla aber „kritisch“).

Bei keiner der Schwachstellen geben die Entwickler an, dass es Hinweise auf Missbrauch im Internet gibt. Dennoch sollten Nutzerinnen und Nutzer zügig sicherstellen, mit abgesicherten Versionen im Netz unterwegs zu sein.

Den aktuell laufenden Softwarestand zeigen bei allen Webbrowsern die Versionsdialoge an, die sich durch Klick auf das Einstellungsmenü und dort unter „Hilfe“ – „Über “ öffnen. Steht ein Update zur Verfügung, meldet der Dialog das und bietet die Installation an. Unter Linux ist dafür in der Regel die Softwareverwaltung der Distribution zuständig. Auf Mobilgeräten zeichnen sich hingegen die App-Stores für die Updateverwaltung verantwortlich. Allerdings stehen die Aktualisierungen dort oft erst mit Verzögerung bereit.

Auf diesen Projekten aufsetzende Browser wie der Chromium-basierte Microsoft Edge dürften in Kürze ebenfalls Aktualisierungen anbieten, die die Sicherheitslecks ausbessern. Ebenso ist für das Mailprogramm Thunderbird in Kürze mit Updates zu rechnen, da es auf dem verwundbaren Firefox-Code basiert.

(dmk)

Angreifer haben es auf Schwachstellen in ConnectWise ScreenConnect und der Windows Shell abgesehen. Vor Angriffen darauf warnt jetzt die US-amerikanische IT-Sicherheitsbehörde CISA.

In der Mitteilung der CISA, dass sie zwei attackierte Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat, nennt die Behörde jedoch keine weiteren Details. Umfang, Art und Folgen der Angriffe sind dadurch unklar. Allerdings lassen sich aufgrund der CVE-Schwachstelleneinträge manchmal anderweitig Rückschlüsse ziehen. So wurden Angriffe auf die Windows Shell am gestrigen Dienstag bekannt (CVE-2026-32202, CVSS 4.3, Risiko „mittel“). Etwa Akamai hat tiefergehende Hintergründe veröffentlicht, das Leck als Zero-Click-Lücke eingeordnet und erörtert, dass Angreifer dadurch Net-NTLM-v2-Hashes abgreifen und diese in NTLM-Relay-Angriffe missbrauchen können – und das auch inzwischen in der Praxis machen.

Die Sicherheitslücke in ConnectWise ScreenConnect, die bösartige Akteure im Netz angreifen, ist hingegen bereits seit Februar 2024 bekannt (CVE-2024-1708, CVSS 8.4, Risiko „hoch“). Seitdem gibt es auch Aktualisierungen der Remote-Monitoring-and-Management-Software (RMM). Hier liefern die IT-Sicherheitsforscher von Huntress hilfreiche Hinweise – die bereits aus Mitte Februar stammen, sind aber offenbar noch immer relevant.

Missbrauchte ScreenConnect-Lücke

Die Schwachstelle CVE-2024-1708 ist eine sogenannte Path-Traversal-Sicherheitslücke, durch die Angreifer Schadcode auf verwundbare Systeme verfrachten können. Laut Huntress nutzen das bösartige Akteure zusammen mit der Sicherheitslücke CVE-2024-1709 (CVSS 10.0, Risiko „kritisch“), die das Umgehen der Authentifizierung ermöglicht. Der Angriff mit kombinierten Schwachstellen hat den Namen „SlashAndGrab“ erhalten. Betroffen ist ConnectWise ScreenConnect 23.9.7 und vorherige Versionen, der Fix kam mit ScreenConnect 23.9.8 und neueren.

IT-Verantwortliche sollten die Sicherheitslücken schließen, indem sie die verfügbaren Patches anwenden. Wer ConnectWise ScreenConnect einsetzt, findet in der Huntress-Analyse zudem einige Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), auf die die Systeme untersucht werden können.

(dmk)

Es ist der letzte Zwischenschritt, bevor die EU-Kommission mögliche Strafen unter dem Digital Services Act (DSA) verhängt: die offizielle Feststellung, dass Meta die Risiken unterschätzt, die Kindern auf den Plattformen des Anbieters begegnen. Der EU-Kommission ist es dabei wichtig, auf eines hinzuweisen: Im Europarecht gibt es kein festgeschriebenes Mindestalter – die Altersgrenze hat Meta sich selbst gegeben.

Meta kommt Verpflichtungen nicht nach

Daraus aber würde die Verpflichtung erwachsen, dafür zu sorgen, dass Kinder sich dort nicht aufhalten könnten. „Allgemeine Geschäftsbedingungen sollten keine bloßen schriftlichen Erklärungen sein, sondern die Grundlage für konkrete Maßnahmen zum Schutz der Nutzer – einschließlich der Kinder“, so die zuständige Exekutiv-Vizepräsidentin Henna Virkkunen.

Doch dieser Verpflichtung aus dem Digital Services Act komme Meta nicht ausreichend nach. Es reiche etwa aus, ein falsches Geburtsdatum anzugeben. Rund 12 Prozent der Kinder würden auf den Social-Media-Plattformen des Konzerns als Nutzer unterwegs sein, so die EU-Kommission. Das zeige, dass die Schutzmaßnahmen nicht wirken würden, meinen die Beamten. Aus Kommissionskreisen hieß es zur heutigen Maßnahme, dass diese nicht als Stellungnahme in Sachen Mindestalter für Social Media interpretiert werden solle. Es gehe hier ausschließlich um die Durchsetzung der Plattformregulierung der EU unter dem Digital Services Act, nicht um das Definieren eines zulässigen Mindestalters.

In zwei von vier vor fast zwei Jahren eingeleiteten Verfahren gegen den Anbieter in Sachen Minderjährigenschutz unter dem DSA ist damit die letzte formale Stufe vor einer Beilegung oder Bußgeldverhängung erreicht. Meta kann nun auf die Befunde der EU-Kommission reagieren und bessere Verfahren vorschlagen, wie der Zugang von Kindern auf die Plattformen wirksam begrenzt werden kann. Die weiteren DSA-Verfahren unter anderem wegen süchtigmachender Designs laufen davon unabhängig parallel weiter.

(afl)