Polymarket bestätigte am Donnerstag, dass ein kompromittierter Drittanbieter für einige Nutzer Schadcode in die Website eingeschleust habe. Der Vorfall sei eingedämmt und die betroffene Komponente entfernt worden. Betroffene Nutzer würden kontaktiert und vollständig entschädigt, schreibt das Unternehmen auf X.

Weitere Details nannte Polymarket zunächst nicht. Unklar bleibt, welcher Dienstleister kompromittiert wurde, wie der Angriff im Einzelnen ablief, wie viele Nutzer betroffen waren und wie hoch der Schaden ist. Gegenüber TechCrunch bestätigte ein Polymarket-Sprecher lediglich, dass bei dem Vorfall Geld von Nutzern gestohlen wurde.

Die Blockchain-Sicherheitsfirma PeckShield meldete auf X, dass es sich offenbar um eine Phishing-Kampagne gegen Polymarket-Nutzer handelt. Dabei sollen Kryptowerte im Wert von rund 3 Millionen US-Dollar gestohlen worden sein, konkret PUSD. PUSD ist der an den US-Dollar gekoppelte interne Dollar-Token, mit dem Polymarket Wetten abrechnet. Der Angreifer habe die gestohlenen Werte über eine Bridge vom Polygon-Netzwerk ins Ethereum-Netzwerk verschoben und dort in Ether getauscht.

Prognosemärkte: Zwischen Boom und Kritik

Polymarket war erst wenige Tage zuvor wegen mutmaßlich manipulativer Influencer-Werbung in die Kritik geraten. Laut Wall Street Journal soll das Unternehmen Influencer für Videos bezahlt haben, in denen angebliche Wetten und Gewinne gezeigt wurden, die tatsächlich auf nachgebauten Seiten oder internen Testumgebungen entstanden.

Prognosemärkte wie Polymarket und Kalshi verzeichnen starkes Wachstum, sind rechtlich und politisch aber stark umstritten. In den USA laufen derzeit mehr als 30 Verfahren zur Zulässigkeit solcher Plattformen. Kritiker befürchten, dass Prognosemärkte Grenzen verschieben: Informationen aus erster Hand könnten zu Wettvorteilen werden, Krisen und Unglücke zu Anlageobjekten. Besonders problematisch wäre es, wenn finanzielle Interessen nicht nur auf den Ausgang eines Ereignisses setzen, sondern diesen selbst beeinflussen.

Trotzdem wächst der Markt inzwischen so stark, dass er neue Wettbewerber auf den Plan ruft: So soll Meta Berichten zufolge an einer Prognoseplattform namens „Arena“ arbeiten, bei der wohl aus rechtlichen Bedenken zunächst Spielgeld statt Echtgeld eingesetzt würde.

(tobe)

Wenn Admins in Cloud-Infrastrukturen oder Rechenzentren Router und Switches mit Arista EOS nutzen, können Angreifer an mehreren Schwachstellen ansetzen. Stimmen die Voraussetzungen, sind Systeme kompromittierbar. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Mehrere Gefahren

In einer Warnmeldung finden sich unter anderem Informationen zu einer „kritischen“ Lücke (CVE-2026-11705). Daran können Angreifer aber nur ansetzen, wenn im Kontext von Streaming Telemetry Agent die TerminAttrRW-Option aktiv ist. Den Entwicklern zufolge ist das aber keine Standardeinstellung, sodass Geräte nicht per se angreifbar sind.

Ist die Voraussetzung erfüllt, können Angreifer durch das Versenden von präparierten Paketen Fehler auslösen und danach Systemdaten modifizieren. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Geräte danach als kompromittiert gelten.

Bislang ist dagegen nur die EOS-Version 4.36.1F erschienen. Für ältere Ausgaben sind bislang nur Fixes verfügbar, die Arista in der Warnmeldung auflistet. Weitere Sicherheitspatches sollen folgen. Um Netzwerke vor solchen Attacken zu schützen, können Admins den Streaming-Telemetry-Agenten (TerminAttr) deaktivieren.

Durch das erfolgreiche Ausnutzen weiterer Lücken werden etwa manipulierte Zertifikate akzeptiert (CVE-2026-52896 „hoch“) oder Angreifer können Zugangsdaten einsehen (CVE-202652895 „mittel“).

In einer weiteren Warnmeldung führen die Entwickler noch eine Lücke (CVE-2026-12546 „mittel“) auf. Darüber ist die Authentifizierung umgehbar. In den verlinkten Warnmeldungen finden Admins weiterführende Hinweise zu den Schwachstellen und konkret bedrohten EOS-Versionen.

(des)

Google hat den Webbrowser Chrome zum Freitag ein zweites Mal in dieser Woche aktualisiert. Damit stopft der Hersteller insgesamt 21 Sicherheitslücken. Der Grund für das zweite ungeplante Update ist jedoch unklar. Aber der Reihe nach.

In der Nacht zum Mittwoch hat Google das übliche wöchentliche Browser-Update für Chrome herausgegeben. Das behandelt 18 Sicherheitslücken, von denen vier sogar die Risikobewertung als „kritisch“ erhalten haben. Dazu gehören zwei Use-after-free-Schwachstellen in WebGL (CVE-2026-13028, CVE-2026-13032), eine weitere in Autofill (CVE-2026-13038) sowie potenzielle Lesezugriffe außerhalb vorgesehener Speichergrenzen in der Komponente „Blink>InterestGroups“ (CVE-2026-13033). Bei Use-after-free-Sicherheitslücken greift der Programmcode auf bereits freigegebene Ressourcen zu, deren Inhalte daher nicht definiert sind. Angreifer können das oftmals sogar zum Ausführen von Schadcode missbrauchen, etwa bei der Anzeige sorgsam präparierter Webseiten.

Zum Freitag haben Googles Entwickler nun eine Aktualisierung nachgelegt, die außerhalb des üblichen Zeitplans erfolgt. Das passiert normalerweise etwa, wenn Schwachstellen bereits attackiert werden. Davon schreibt Google jedoch nichts. Lediglich drei Schwachstellen bessert das Update demnach aus, und die schätzen die Programmierer auch „nur“ als ein hohes Risiko ein. Darunter sind erneut zwei Use-after-free-Schwachstellen, einmal in Payments (CVE-2026-13282) und einmal in AdFilter (CVE-2026-13283). Außerdem korrigiert das Update einen Integer-Überlauf in der Mojo-Komponente (CVE-2026-13281).

Update außer der Reihe, aber kein Exploit

Üblicherweise schreibt Google in den Versionsankündigungen, wenn das Unternehmen davon weiß, dass Sicherheitslücken bereits im Internet angegriffen werden. In beiden Versionsankündigungen finden sich jedoch keine derartigen Hinweise. Dennoch sollten Nutzer von Chromium-basierten Webbrowsern etwaige verfügbare Aktualisierungen zügig anwenden. Das reduziert die potenzielle Angriffsfläche auf jeden Fall.

Aktuell sind ab Freitag nun die Versionen Chrome 149.0.7827.200 für Android und Linux sowie 149.0.7827.200/201 für Mac und Windows. Die lassen sich über den Versionsdialog direkt im Browser installieren (Einstellungsmenü, dort „Hilfe“ – „Über “). Unter Linux muss in der Regel die Softwareverwaltung der Distribution aufgerufen werden. Auf Smartphones bringen die App-Stores die Updates auf die Geräte – allerdings oft mit größeren Verzögerungen; eine Beschleunigung lässt sich dort nicht erzwingen. Auch Nutzer von Browsern wie Microsofts Edge, die auf Chromium basieren, sollten nach Updates Ausschau halten.

Vor zweieinhalb Wochen musste Google mit einem Update außer der Reihe eine bereits angegriffene Schwachstelle im Webbrowser Chrome schließen.

(dmk)