Die Windows-Updates aus dem Januar haben auf PCs mit Windows 11 23H2 teils zu Problemen mit dem Herunterfahren oder den Schlafmodi verursacht. Jetzt räumt Microsoft ein, dass auch Windows-10-Rechner von dem Problem betroffen sein können. Abhilfe gibt es derzeit nicht.

Microsoft bestätigt das Problem offiziell

In den Windows-Release-Health-Notizen hat Microsoft das Problem inzwischen bestätigt. Auch hier sind Maschinen betroffen, die den „sicheren Start“ mit dem „virtuellen sicheren Modus“ (Virtual Secure Mode, VSM) aktiviert haben. Diese Geräte sind „nicht in der Lage, herunterzufahren oder in den Schlafmodus einzutreten. Stattdessen startet das Gerät neu“, erklärt Microsoft. Rechner mit AMD- oder ARM64-Prozessoren sollen davon nicht betroffen sein. Die komplette Liste der betroffenen Betriebssysteme lautet nun Windows 11 23H2, Windows 10 22H2, Windows 10 Enterprise LTSC 2021 und Windows 10 Enterprise LTSC 2019.

Der Zeitpunkt ist recht spät. Für Windows 11 23H2 hat Microsoft den Fehler bereits in der Woche der Veröffentlichung der Updates zum Microsoft-Patchday im Januar berichtet. Und nur wenige Tage später haben die Entwickler ein Update außer der Reihe nachgelegt, das das Problem korrigiert. Betroffene Windows-10-Nutzer und -Nutzerinnen müssen sich hingegen weiter gedulden. Microsoft schreibt: „Wir planen, eine Lösung mit einem künftigen Windows-Update zu veröffentlichen.“ Einen genaueren Zeitplan nennt der Hersteller nicht.

Die für Windows 11 23H2 vorgeschlagenen Gegenmaßnahmen funktionieren einem Leserbericht zufolge in einer betroffenen Windows-10-Installation nicht. Der Leser, der mit diesem Problem konfrontiert war, hat aus der Not heraus das Windows-Update aus dem Januar deinstalliert. Das stellt zwar die korrekte Funktion wieder her, jedoch schließt das Update einige Sicherheitslücken, von denen mehrere bereits in freier Wildbahn angegriffen werden. Es handelt sich daher um eine Lösung, die Betroffene einem erhöhten Risiko aussetzt.

(dmk)

Der Security-Podcast wird 50 Folgen alt (oder doch 51?). Die Hosts freuen sich, dass die Hörer und Hörerinnen weiter Freude an „Passwort“ haben, wie sich unter anderem am Feedback zeigt. Von dem gab es in letzter Zeit besonders viel, auf das Christopher und Sylvester gerne eingehen.

Anschließend geht es um die Nachricht, dass Microsoft BitLocker-Schlüssel an Strafverfolgungsbehörden herausgibt. Das überrascht zwar die Hosts nicht sonderlich, aber viele Menschen sehen darin offenbar ein großes Risiko, das ihnen bislang nicht bewusst war. Eine gute Gelegenheit, im Podcast über BitLocker und seine Vor- und Nachteile zu reden, darüber, was Microsoft besser machen könnte, und darüber, ob die Konkurrenz es besser macht.

Danach erzählt Christopher von einem Post in Cloudflares Blog, der eigentlich demonstrieren sollte, was mit den „Workers“ des Unternehmens so alles machbar ist: angeblich ein voll funktionstüchtiger Server für das Chatprotokoll Matrix. Allerdings zeigte der Blogpost unbeabsichtigt vor allem, wie schnell man mit KI-Systemen zu einem großen Haufen Code kommt, über den man nicht mal mehr einen groben Überblick hat, und der viel von dem, was er tun soll, in Wahrheit nicht tut. Jenseits der Fehler des verantwortlichen Entwicklers wirft der Post und sein „Update“ vorrangig ein schlechtes Licht auf die Art und Weise, wie Cloudflare Öffentlichkeitsarbeit betreibt. Die Geschichte ist wahrlich keine Sternstunde des höchst Security-relevanten Unternehmens und lässt die Hosts etwas konsterniert zurück.

Im weiteren Verlauf der Folge erzählt Sylvester von einer Zeichenkette, die absichtlich Anthopics generative KI „Claude“ abbrechen lässt – und sich daher bestens eignet, um darauf aufbauende Software aus dem Tritt zu bringen. Christopher hingegen berichtet von WhisperPair, einer interessanten Sicherheitslücke in vielen Bluetooth-Geräten, die „Fast Pair“ unterstützen.

Mit vier Themen sind die Hosts freilich noch lange nicht am Ende. Aber um ihren treuen Hörern und Hörerinnen zum Folgen-Jubiläum eine kleine VerschnaufpauseÜberraschung zu bieten, haben sie den Rest in eine zusätzliche Bonusfolge ausgelagert, die in einer Woche erscheint.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL_1FAEFB6177B4672DEE07F9D3AFC62588CCD2631EDCF22E8CCC1FB35B501C9C86

(syt)

Derzeit haben es Angreifer auf SmarterMail-Instanzen abgesehen. Sind Attacken erfolgreich, erlangen sie als Admin die volle Kontrolle. Eine reparierte Version steht zum Download bereit.

Alle drei mittlerweile in SmarterMail 100.0.9511 geschlossenen Sicherheitslücken (CVE-2026-23760), CVE-2026-24423, CVE-2025-52691) sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Alle vorigen Ausgaben sollen verwundbar sein. Der US-Sicherheitsbehörde CISA zufolge nutzen Angreifer die ersten beiden Schwachstellen bereits aus.

Ernste Gefahren

Im ersten Fall ist die Passwort-Reset-API löchrig und es kommt zu Fehlern beim Zurücksetzen von Systemadministratorkonten. Weil in diesem Kontext unzureichend geprüft wird, kommen anonyme Anfragen durch und Angreifer erstellen ohne Authentifizierung Admin-Konten. Im Anschluss können sie als Root auf den Host zugreifen, was einer vollständigen Kompromittierung gleichkommt.

Im zweiten Fall können Angreifer Verbindungen zu einem unter ihrer Kontrolle befindlichen HTTP-Server erzwingen und darüber Schadcode servieren. Die dritte Lücke ist mit dem maximalen CVSS Score 10 von 10 eingestuft. An dieser Stelle können entfernte Angreifer ohne Anmeldung Schadcode hochladen und ausführen.

In welchem Umfang die Attacken derzeit ablaufen, ist nicht bekannt. Unklar ist zum jetzigen Zeitpunkt auch, woran Admins bereits erfolgreich attackierte Instanzen erkennen können. In den Release Notes zu SmarterMail-Versionen finden sich nur äußerst knappe Hinweise auf die Sicherheitsprobleme.

Zumindest in einem Fall ist klar, dass Admins nach ihnen unbekannten Admin-Konten Ausschau halten und diese umgehend löschen müssen. Doch dann ist es wahrscheinlich schon zu spät, und Angreifer haben sich eine Hintertür eingerichtet. Dementsprechend müssen Admins Logdateien im Auge behalten und verdächtigen Netzwerkverkehr blockieren.

(des)