Angreifer können mehrere Sicherheitslücken in IBM WebSphere Application Server und Business Automation Workflow ausnutzen und im schlimmsten Fall die volle Kontrolle über Systeme erlangen. Sicherheitsupdates schaffen Abhilfe.

Bislang gibt es seitens des Softwareherstellers keine Warnung, dass Angreifer die Lücken bereits ausnutzen. Da beide Anwendungen in Unternehmen zentrale Prozesse bereitstellen und automatisieren, sollten Admins die Sicherheitspatches jedoch zeitnah installieren.

Verschiedene Gefahren

Die meisten Softwareschwachstellen betreffen IBM WebSphere Application Server. Als am gefährlichsten gelten drei „kritische“ Sicherheitslücken (CVE-2026-9311, CVE-2026-9319, CVE-2026-8644).

Im ersten Fall können Angreifer Sicherheitskontrollen umgehen und im Anschluss Schadcode ausführen. Die zweite Lücke betrifft ausschließlich JAX-WS Endpoints mit WS-Security. Aufgrund von unzureichenden Überprüfungen werden eigentlich nicht vertrauenswürdige Daten verarbeitet und so kann Schadcode auf PCs gelangen. Im dritten Fall können sich Angreifer die Rolle eines anderen Nutzers aneignen und dann böse Dinge tun. Durch die verbleibende Schwachstelle (CVE-2026-9330 „hoch“) kann Schadcode schlüpfen. Bis der vollständige Patch IBM zufolge im dritten Quartal erscheint, müssen Admins Instanzen über eine Zwischenlösung in Form eines Interim Fixes absichern.

IBM Business Automation Workflow ist insgesamt über zehn Schwachstellen angreifbar. Hier gilt eine Lücke (CVE-2026-33186) in gRPC-Go als „kritisch“. Damit kann die Authentifizierung umgangen werden. Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 24.0.0-IF009, 24.0.1-IF007, 25.0.0-IF005 und 25.0.1-IF001 gelöst zu haben.

(des)

Auf der Entwicklerkonferenz Microsoft Build 2026 stellt das Unternehmen vor allem für Entwickler relevante Neuerungen vor. Es gibt aber auch Neuerungen, die die Nutzerinnen und Nutzer der Windows-Betriebssysteme selbst direkt betreffen, etwa bezüglich der IT-Sicherheit.

Ein Übersichtsbeitrag im Windows-Blog nennt diverse Änderungen, die insbesondere Developer helfen. Etwa am Ende des Artikels finden sich jedoch auch Neuerungen, die Windows für alle sicherer machen sollen. Die meisten davon lassen sich bereits in Windows-Insider-Vorschauversionen austesten. So erklären die Autoren des Beitrags, dass Windows nun die Unterstützung von Post-Quanten-Kryptografie (PQC, Post-Quantum Cryptography) über die Windows-Plattform ausweiten und sie tiefer darin verankern will. Das umfasse PQ-Hybrid-Key-Exchange im TLS-Stack von Windows sowie den Support von zusammengesetzten PQC-Algorithmen durch die Windows-Kryptografie-APIs (CNG). Die Active Directory Certificate Services (ADCS) sollen nun auch PQ-Zertifikate verteilen können. Ein Blog-Beitrag in der Microsoft Techcommunity liefert Interessierten tiefergehende Einblicke.

Hilfe beim NTLM-Ausstieg

NTLM (NT LAN Manager) ist ein Sicherheitsalbtraum. Googles Tochterfirma Mandiant liefert inzwischen Hilfestellung beim Knacken von NTLM-Hashes, was die Sicherheit von Windows-Netzen mit NTLM-Authentifizierung deutlich beeinträchtigt. Die nächste Version von Windows Server soll NTLM dann nicht mehr unterstützen. Bis dahin arbeiten Microsofts Entwickler daran, sicherere Standardeinstellungen durchzusetzen und bekannte Angriffsvektoren für die veraltete Authentifizierung abzusichern. Im WIP-Server und Client lassen sich nun „IAKerb“ und „LocalKDC“ mit Registry-Keys konfigurieren. Das soll die Nutzung von NTLM reduzieren und den Einsatz stärkerer Kerberos-basierter Authentifizierung in weiteren Szenarien ermöglichen. Auch hierzu liefert ein Beitrag im Windows-IT-Pro-Blog tiefere Einsichten.

Um sicherzustellen, dass Windows nur vertrauenswürdige Treiber lädt, erfordert Microsoft nun einen strengeren Zertifizierungsprozess. Standardmäßig lädt Windows nur noch Treiber, die im Windows Hardware Compatibility Program (WHCP) signiert wurden. Das testen die Entwickler seit März in ersten Windows-Insider-Vorschauen. Konkret bedeutet das, dass Windows keine Treiber mehr lädt, die im Cross-Signed-Root-Programm signiert wurden. Dahinter steckt eine Option, dass Certificate Authorities (CA) öffentlichen Schlüsseln anderer CAs vertrauen; solche Cross-Signed-Root-Zertifikate akzeptiert Windows nicht mehr.

Microsoft hebt weiterhin hervor, dass Windows-Geräte durch Smart App Control für Endanwender und die Business-Variante davon vor nicht vertrauenswürdigen Apps geschützt werden. Ohne weiter in Details zu gehen, soll die reputationsbasierte Durchsetzung verstärkt werden und im Enterprise-Umfeld neue APIs zur Integration sowie richtlinienbasierte Kontrolle kommen.

(dmk)

Google hat Neuerungen für die Play-System-Dienste angekündigt. Mit einem nutzerseitigen neuen Feature für alle Smartphones und Tablets, die Play-Updates erhalten, sollen sich Passwörter und Passkeys sicher zwischen dem Google-Passwortmanager und Passwortmanagern von Drittanbietern transferieren lassen. Für die sichere Übertragung kommt eine schon 2024 von der Fido Alliance angekündigte Spezifikation zum Einsatz.

Credential Exchange Protokoll

Allmonatlich veröffentlicht Google Updates über die Play-Dienste und den Play Store. Die Aktualisierungen liefern neue Funktionen für alle Smartphones und weitere Produkte des Google-Ökosystems wie Tablets, Uhren, Smart-TVs, Android Auto und Chromebooks, ohne dass ein großes Android-Update vonseiten der Gerätehersteller erforderlich ist.

Mit Version 26.21 der Play-Dienste vom 1. Juni 2026 verteilt Google ein Feature für Android-Smartphones mit der Funktionsbeschreibung „Sie können nun Passwörter und Passkeys mithilfe des Credential-Exchange-Standards zwischen dem Google Passwort-Manager und Passwort-Managern von Drittanbietern importieren und exportieren“.

Was Google kurz und knapp in einem Satz abhandelt, ist aber eine recht wichtige und komfortable Angelegenheit. Denn das heißt, dass Nutzerinnen und Nutzer ihre sensiblen Zugangsdaten und Passkeys auf Android-Geräten nicht mehr umständlich per unsicherer CSV-Datei oder JSON aus einem Passwortmanager exportieren und in einen neuen importieren müssen. Stattdessen kann dies künftig sicher vonstattengehen, da Android nun das „Credential Exchange-Protokoll“ (CXP) der Fido Alliance unterstützt.

Nutzer können mit dem Standard ihre Passkeys von einem Passwortmanager Ende-zu-Ende-verschlüsselt (E2EE) zu einem anderen kopieren. Der Standard lasse sich ebenfalls mit anderen Authentifizierungsinformationen nutzen, worunter unter anderem herkömmliche Kennwörter fallen. Seit der Einführung von CXP unterstützen schon einige Passwortmanager diesen Standard – zu ihnen gehören etwa Bitwarden, 1Password und Dashlane. Auch Apples systemeigener Passwortmanager unterstützt CXP. Das heißt, die Passwörter und Passkeys sollten sich auch über Ökosysteme hinweg sicher transferieren lassen.

Neuerungen im Play Store

Abseits des Updates der Play-System-Dienste bringt Google mit dem Update des Play Stores auf Version 51.7 Neues in den digitalen Android-Laden. So sollen mit der neuen Play-Store-Version unter anderem Verkaufspreise und Rabattdetails – wie Angebote und Termine – im gesamten Play Store übersichtlicher und besser sichtbar dargestellt sein.

In Android Auto, auf Smartphones und Fernseher mit Android oder Google TV erhalten die Dialoge im Play Store, die beim Herunterladen oder Kauf einer App angezeigt werden, ein überarbeitetes Design.

Im Play Store soll auf Smartphones die Vorregistrierung und die automatische Installation in einem einzigen Schritt erfolgen, erklärt Google. Ebenso will Google Play mehr Benachrichtigungen über Challenges anzeigen. Solche Dinge lassen sich in der Regel bei Bedarf auch abstellen.

Die Neuerungen dürften im Laufe der kommenden Tage oder Wochen auf Android-Geräten verfügbar sein.

(afl)