Eine gute Woche nach Veröffentlichung des „BlueHammer“-Exploits hat sein Autor nachgelegt: „RedSun“ verschafft Angreifern auf aktuellen Windows-Systemen Admin-Rechte. Dazu bedient sich der Exploit der „Cloud File API“ und eines mutmaßlichen Fehlers in Windows Defender, überschreibt eine Systemdatei und erhöht somit seine Privilegien.

Der Autor schreibt dazu, dass Windows Defender Dateien, die ein „Cloud-Tag“ tragen, neu schreibe und dazu den ursprünglichen Pfad der Datei verwendet. Sicherheitsforscher Will Dormann führt die knappe Erläuterung des Autors auf Mastodon weiter aus, dass der Exploit eine Datei mittels der „Cloud Files API“ schriebe, danach eine Race Condition bei Schattenkopien gewönne und so im Windows-Systemverzeichnis eine ausführbare Datei plazieren könne. Mittels dieser erhöhe er seine Privilegien zu SYSTEM. Dormann: „Game over.“

Fehler noch ungepatcht

In aktuellen Windows-Versionen ist der Fehler namens „RedSun“ noch nicht gepatcht, wie Dormann herausfand. Er testete den Exploit unter Windows 10 und 11 erfolgreich. Auch die Redaktion von heise security konnte auf einem frisch gepatchten Testsystem bestätigen: Der Exploit funktioniert.

Am 7. April hatte ein anonymer Sicherheitsforscher aus Frust über den Prozess im MSRC (Microsoft Security Response Center) den BlueHammer-Exploit veröffentlicht.

(cku)

Wer mit Chrome und Chromium-basierten Webbrowsern unterwegs ist, sollte sicherstellen, den aktuellen Softwarestand einzusetzen. Google hat Updates veröffentlicht, mit denen die Entwickler 31 Sicherheitslücken schließen. Fünf davon gelten als kritisch, sie erlauben Angreifern das Einschleusen von Schadcode.

In der Versionsankündigung listen Googles Entwickler die Schwachstellen auf. Manipulierte Webseiten können einen Heap-basierten Pufferüberlauf im WebGL-Backend ANGLE auslösen und dadurch aus der Sandbox ausbrechen (CVE-2026-6296, CVSS 9.6, Risiko „kritisch“). Der Fehlerbericht war Google 90.000 US-Dollar wert, das ist damit eine der bislang höchsten Auszahlungen für eine Chrome-Sicherheitslücke.

Die Proxy-Komponente erlaubt ebenfalls aufgrund einer „Use-after-free“-Schwachstelle, dass Angreifer in „privilegierter Netzwerk-Position“ mit sorgsam präparierten Webseiten aus der Sandbox ausbrechen (CVE-2026-6297, CVSS 8.3, Risiko „hoch“, laut Google aber „kritisch“). In der Grafikbibliothek Skia können manipulierte HTML-Seiten einen Heap-basierten Pufferüberlauf provozieren, der sensible Informationen aus dem Prozessspeicher entweichen lässt (CVE-2026-6298, CVSS 4.3, Risiko „mittel“, laut Google „kritisch“).

Zahlreiche Schwachstellen in Chrome

Eine „Use-after-free“-Lücke beim Prerendering von Webseiten in Chrome ermöglicht zudem das Einschleusen von Schadcode mit präparierten Webseiten (CVE-2026-6299, CVSS 8.8, Risiko „hoch“, laut Google „kritisch“). In der „Extended Reality“-Komponente (XR) von Chrome auf Android können Angreifer zudem mit manipulierten HTML-Seiten Lesezugriffe außerhalb vorgesehener Speicherbereiche aufgrund einer „Use-after-free“-Lücke auslösen (CVE-2026-6358, CVSS 8.8, Risiko „hoch“, laut Google „kritisch“).

Weitere 22 Sicherheitslücken stufen die Entwickler als hohes Risiko ein, vier zudem als mittleren Bedrohungsgrad. Die Schwachstellen will Google in den Versionen Chrome 147.0.7727.101 für Android und Linux sowie 147.0.7727.101/102 für macOS und Windows ausgebessert haben. Immerhin: Google erwähnt nichts davon, dass die Schwachstellen bereits im Internet attackiert würden.

Aktualisierte Software installieren

Ob der Browser bereits aktuell ist, lässt sich im Versionsdialog feststellen. Der findet sich nach Klick auf das Browser-Menü, das sich hinter dem Symbol mit drei übereinander gestapelten Punkten rechts der Adressleiste verbirgt, und dort weiter über „Hilfe“ zu „Über Google Chrome“. Steht ein Update zur Verfügung, lädt der Dialog es herunter und bietet die Installation an. Unter Linux macht das in der Regel die Softwareverwaltung der Distribution. Auf Android-Smartphones kommt es jedoch oftmals zur verzögerten Auslieferung.

Da andere Browser wie Microsofts Edge auf dem Chromium-Code basieren, dürften sich die Schwachstellen auch darin finden. Auch hier sollten Nutzerinnen und Nutzer daher prüfen, ob Aktualisierungen bereitstehen, und diese anwenden.

Derzeit häufen sich die entdeckten und geschlossenen Sicherheitslücken in Chrome. Erst vergangene Woche haben die Entwickler sogar 60 Sicherheitslecks in Chrome geschlossen.

(dmk)

Die Maintainer der Linux-Distribution Tails zum anonymen Bewegen im Internet haben ein Notfallupdate veröffentlicht. Tails 7.6.2 schließt eine Sicherheitslücke in Flatpak.

In der Versionsankündigung erklären die Tails-Programmierer, dass sie das Flatpak-Paket auf Version 1.16.6 gehievt haben. Es schließt damit eine Sicherheitslücke, die das Ausbrechen aus einer Sandbox mit Zugriff auf beliebige Dateien im Host und in der Folge Ausführung von Code im Host-Kontext ermöglicht (CVE-2026-34078, CVSS4 9.3, Risiko „kritisch“; bereits in Flatpak 1.16.4 geschlossen).

Die Tails-Maintainer erklären, dass Angreifer durch diese Schwachstelle aus der Sicherheitsumgebung des Tor-Browsers ausbrechen und auf alle Dateien zugreifen können, deren Zugriff kein Admin-Passwort erfordert. Das umfasst auch den persistenten Speicher. Sie weisen zugleich darauf hin, dass zum Missbrauch der Lücke bösartige Akteure zuvor bereits eine andere Schwachstelle ausnutzen müssen, die ihnen Kontrolle über den Tor-Browser verschafft.

Aktualisierte Software

Weitere berichtenswerte Änderungen gibt es in Tails 7.6.2 nicht. Wer die Linux-Distribution nutzt, um damit etwa auf fremden Rechnern eine geschützte Umgebung zum anonymen Surfen im Netz zu starten, sollte jedoch die Software aktualisieren. Andernfalls laufen Nutzerinnen und Nutzer Gefahr, dass Angreifer – etwa staatliche Akteure in zensurbetreibenden Regimen – die Sicherheitsmechanismen aushebeln und so unbefugt auf die sensiblen Informationen aus dem persistenten Speicher und den aktuellen Tor-Sitzungen mitschnüffeln und beispielsweise gegen Nutzer verwenden.

Aktualisierte Images stehen zum Erstellen von startbaren USB-Sticks sowie zum Bannen auf DVDs oder zur Nutzung in VMs im ISO-Format zum Herunterladen bereit. Bereits vor einer Woche hat das Tails-Projekt ein Notfallupdate auf Version 7.6.1 herausgegeben. Darin haben die Entwickler eine Sicherheitslücke im Tor-Browser geschlossen.

(dmk)