Die Linuxwelt ist in Aufruhr: Da hat jemand eine Sicherheitslücke im Kernel gefunden, die zuverlässig zur Ausweitung der Nutzerrechte auf Root-Ebene führt. Und ihr einen Namen gegeben. Und eine Website! Das zementiert die Gravitas von „copy.fail“, also müssen Christopher und Sylvester diesem Thema den gebotenen Raum – mit der gebotenen Ironie – im Podcast einräumen. Doch hinter copy.fail steckt eine ganze Kategorie von Sicherheitslücken, derer es seit Aufnahme der Folge mehrere weitere gab, nämlich Dirty Frag, Copy Fail 2 und den Abschluss der Trilogie, Copy Fail 3.

Irrungen und Wirrungen von KI bis CA

Auch die Unzulänglichkeiten künstlicher Intelligenz finden im Passwort-Podcast von heise security wieder statt: In Form der Mär um PocketOS, das weder mit Hosentaschen noch mit einem Betriebssystem viel gemein hat. Der Hersteller der SaaS-Software für Autovermietungen hatte allzu stark auf agentische Entwicklung und Administration gesetzt und der künstliche Kollege Claude hatte Produktions-Datenbank nebst Backup gelöscht.

In der PKI-Ecke geht es erneut um die deutsche Certificate Authority D-Trust, die Administratoren einen kurzfristigen Zertifikatsrückruf ins Osternest hatte legen müssen. Im Gefolge dieser Aktion war den Auditoren bei der Bundesdruckerei-Tochter aufgefallen, dass auch die automatische Überprüfung von S/MIME-Zertifikaten für verschlüsselte E-Mail nicht den Anforderungen des gestrengen CA/Browser-Forums genügte. Und so kam es, wie es kommen musste: Viele S/MIME-Zertifikate wurden kurzfristig zurückgezogen und neu ausgestellt, ein weiteres Ungemach für D-Trust-Kunden.

Die neue Folge von „Passwort – der Podcast von heise security“ steht seit Mittwoch auf den üblichen Podcast-Plattformen bereit.

(cku)

Fortinet hat im Laufe des zweiten Dienstag des Monats – gemeinhin auch als „Patch Tuesday“ oder kurz Patchday etwa aus der Microsoft-Welt bekannt – elf Mitteilungen zu Sicherheitslücken in diversen Produkten veröffentlicht. Davon gelten zwei als kritische Schwachstellen und eine als hochriskant.

Im FortiAuthenticator klafft eine kritische Schwachstelle aufgrund von unzureichenden Zugriffskontrollen. Sie ermöglicht Angreifern ohne vorherige Authentifizierung, mit manipulierten Anfragen unbefugt Code oder Befehle auszuführen (CVE-2026-44277, CVSS 9.1, Risiko „kritisch“). FortiAuthenticator 6.5.7, 6.6.9 und 8.0.3 sowie neuere Fassungen korrigieren das. Mit manipulierten HTTP-Anfragen können bösartige Akteure ohne vorherige Anmeldung unbefugt Code oder Befehle in FortiSandbox, FortiSandbox Cloud und FortiSandbox PaaS Web UI aufgrund einer fehlenden Autorisierung ausführen (CVE-2026-26083, CVSS 9.1, Risiko „kritisch“).

Im FortiOS CAPWAP-Daemon können Angreifer, die Kontrolle über authentifizierte FortiAP FortiExtender oder FortiSwitches haben, Ausführungsrechte auf den FortiGate-Geräten erlangen. Das geht auf mögliche Schreibzugriffe außerhalb vorgesehener Speichergrenzen zurück. Wie die sich provozieren lassen, erklärt Fortinet jedoch nicht (CVE-2025-53844, CVSS 8.3, Risiko „hoch“).

Fortinet: Mittelschwere Sicherheitslücken

Fortinet warnt zudem vor weiteren Schwachstellen. Nach Schweregrad sortiert handelt es sich um folgende:

• OS command injection in CLI – FortiAP/FortiAP-W2 (CVE-2025-53870, CVSS 6.5, Risiko „mittel“)
• SQL command injection in administrative portal – FortiMail (CVE-2025-53681, CVSS 6.3, Risiko „mittel“)
• Command injection in CLI – FortiAP/FortiAP-W2 (CVE-2025-53680, CVSS 6.1, Risiko „mittel“)
• DoS due to unsafe function in signal handler – FortiAnalyzer, FortiManager (CVE-2025-67604, CVSS 5.2, Risiko „mittel“)
• User controlled SQL commands – FortiNDR (CVE-2026-25088, CVSS 5.1, Risiko „mittel“)
• OTP Disclosure via Exported TokenContentProvider – FortiTokenAndroid (CVE-2026-44279, CVSS 5.0, Risiko „mittel“)
• Arbitrary log file read in administrative interface – FortiDeceptor (CVE-2026-25690, CVSS 4.0, Risiko „mittel“)
• Hardcoded Encryption Key Used for VPN Saved Passwords – FortiClientWindows (CVE-2026-44278, CVSS 2.1, Risiko „niedrig“)

IT-Verantwortliche sollten prüfen, ob sie verwundbare Fortinet-Appliances einsetzen und die verfügbaren Aktualisierungen zeitnah anwenden.

Zum „Patchday“ im April hatte Fortinet noch 18 Sicherheitslücken behandelt. Auch die haben die Entwickler zum Teil als kritisches Risiko eingestuft. Da Fortinet direkt mit Netzwerken in Verbindung steht, sind Schwachstellen in der Software ein begehrtes Ziel von Kriminellen. Anfang April haben bösartige Akteure etwa eine kritische Sicherheitslücke im FortiClient EMS attackiert.

(dmk)

Google hat neue Anti-Diebstahlfunktionen für Android vorgestellt. Einige erfordern das neue Android 17, andere funktionieren auch mit älteren Versionen.

Biometrie als zweiter Faktor

Um Langfingern den Gerätediebstahl möglichst unattraktiv zu machen, hat Google hier nachgebessert: Denn ein verlorenes Gerät kostet etwa nicht nur den Wert des Telefons, sondern auch finanzielle Verluste, die durch Betrug entstehen können.

Die neuen Vorkehrungen bauen auf den im Januar 2026 eingeführten Funktionen auf – darunter zusätzliche Einstellungen für die Sperre bei fehlgeschlagener Authentifizierung und einem erweiterten Schutz durch die Identitätsprüfung. Das bedeutet, dass Diebe, die möglicherweise an das Gerätepasswort oder an die PIN gelangt sind, die Geräteortung nicht deaktivieren oder erneut auf das Telefon zugreifen können, wenn Besitzerinnen und Besitzer es als verloren markieren.

Keine neuen WLAN- und Bluetooth-Verbindungen

Laut Google aktiviert das Auslösen von „Als verloren markieren“ ferner zusätzliche Schutzmaßnahmen wie das Ausblenden der Schnelleinstellungen und das Deaktivieren neuer WLAN- und Bluetooth-Verbindungen. Überdies erzwingt das Gerät eine biometrische Authentifizierung zum Entsperren des Geräts – heißt: nur die Eigentümerin oder der Eigentümer des Geräts kann das Gerät etwa mit dem Fingerabdruck entriegeln.

Überdies erklärt Google, dass die neuen Diebstahlschutzfunktionen unter Android 17 standardmäßig aktiviert werden. Dies habe man nach einem erfolgreichen Pilotprojekt in Brasilien entschieden. Zudem erweitert Google in Märkten wie Argentinien, Chile, Kolumbien, Mexiko und Großbritannien diese Schutzmaßnahmen auf alle Geräte mit Android 10 oder höher. Funktionen wie „Remote-Sperre“ und „Diebstahlschutz-Sperre“ seien automatisch aktiviert.

Mit Android 17 will Google Dieben außerdem den Zugriff auf Nutzerdaten erschweren. Auf unterstützten Geräten werde die Anzahl der Versuche, die PIN oder das Passwort zu erraten, deutlich reduziert und zudem längere Wartezeiten zwischen fehlgeschlagenen Versuchen eingeführt. Dies soll verhindern, dass Angreifer sich durch schnelles Ausprobieren Zugang zum gestohlenen Smartphone verschaffen können. Außerdem hat Google Verbesserungen daran vorgenommen, wie der Sperrbildschirm Informationen nach fehlgeschlagenen Versuchen anzeigt, erklärt das Unternehmen.

Um eine mögliche Rückgabe von Geräten zu vereinfachen, könne die IMEI eines Geräts nun über den Sperrbildschirm auf Geräten mit Android 12 oder neuer abgerufen werden. Laut Google können Strafverfolgungsbehörden, Gerätehersteller oder Mobilfunkbetreiber diese eindeutige Gerätekennung nutzen, um die Eigentumsverhältnisse einfach zu überprüfen und das Gerät den rechtmäßigen Besitzern zurückzugeben. Diese Funktion könne jederzeit in den Geräteeinstellungen deaktiviert werden.

(afl)