Anonymisierendes Linux: Notfallupdate auf Tails 7.6.2 schließt Flatpak-Lücke

Die Maintainer der Linux-Distribution Tails zum anonymen Bewegen im Internet haben ein Notfallupdate veröffentlicht. Tails 7.6.2 schließt eine Sicherheitslücke in Flatpak.

In der Versionsankündigung erklären die Tails-Programmierer, dass sie das Flatpak-Paket auf Version 1.16.6 gehievt haben. Es schließt damit eine Sicherheitslücke, die das Ausbrechen aus einer Sandbox mit Zugriff auf beliebige Dateien im Host und in der Folge Ausführung von Code im Host-Kontext ermöglicht (CVE-2026-34078, CVSS4 9.3, Risiko „kritisch“; bereits in Flatpak 1.16.4 geschlossen).

Die Tails-Maintainer erklären, dass Angreifer durch diese Schwachstelle aus der Sicherheitsumgebung des Tor-Browsers ausbrechen und auf alle Dateien zugreifen können, deren Zugriff kein Admin-Passwort erfordert. Das umfasst auch den persistenten Speicher. Sie weisen zugleich darauf hin, dass zum Missbrauch der Lücke bösartige Akteure zuvor bereits eine andere Schwachstelle ausnutzen müssen, die ihnen Kontrolle über den Tor-Browser verschafft.

Aktualisierte Software

Weitere berichtenswerte Änderungen gibt es in Tails 7.6.2 nicht. Wer die Linux-Distribution nutzt, um damit etwa auf fremden Rechnern eine geschützte Umgebung zum anonymen Surfen im Netz zu starten, sollte jedoch die Software aktualisieren. Andernfalls laufen Nutzerinnen und Nutzer Gefahr, dass Angreifer – etwa staatliche Akteure in zensurbetreibenden Regimen – die Sicherheitsmechanismen aushebeln und so unbefugt auf die sensiblen Informationen aus dem persistenten Speicher und den aktuellen Tor-Sitzungen mitschnüffeln und beispielsweise gegen Nutzer verwenden.

Aktualisierte Images stehen zum Erstellen von startbaren USB-Sticks sowie zum Bannen auf DVDs oder zur Nutzung in VMs im ISO-Format zum Herunterladen bereit. Bereits vor einer Woche hat das Tails-Projekt ein Notfallupdate auf Version 7.6.1 herausgegeben. Darin haben die Entwickler eine Sicherheitslücke im Tor-Browser geschlossen.

(dmk)