Let’s Encrypt hat die allgemeine Verfügbarkeit von 6-Tages- und IP-Zertifikaten verkündet. Tests liefen teils bereits seit einem Jahr – nun sollen alle in den Genuss von besseren Sicherheitsmöglichkeiten kommen.

Auf der Let’s-Encrypt-Webseite teilt das Projekt mit, dass Interessierte ab sofort die kurzlebigen Zertifikate einsetzen können, die für 160 Stunden gültig sind, knapp über sechs Tage. Dazu müssen sie in ihrem ACME-Client lediglich das „shortlived“-Zertifikatprofil auswählen. „Kurzlebige Zertifikate erhöhen die Sicherheit dadurch, dass sie eine häufigere Validierung benötigen und sich nicht auf unzuverlässige Widerrufsmechanismen verlassen“, schreibt der Projekt-Beteiligte Matthew McPherrin.

Er erklärt weiter: „Wenn der private Schlüssel eines Zertifikats offengelegt oder kompromittiert wird, war bisher der Widerruf (Revocation) die Methode der Wahl, um den Schaden vor Ablauf des Zertifikats zu begrenzen. Leider ist der Zertifikat-Widerruf ein unzuverlässiges System, sodass viele bis zum Ablauf des Zertifikats, also bis zu 90 Tage lang, weiterhin gefährdet sind. Mit kurzlebigen Zertifikaten reduziert sich der anfällige Zeitraum stark.“

Let’s Encrypt: Freie Wahl

Kurzlebige Zertifikate wollen die Proejtkbeteiligten optional anbieten. „Wir haben derzeit keine Pläne, sie zum Standard zu machen“, führt McPherrin aus. Diejenigen Let’s-Encrypt-Nutzer, die ihren Renewal-Prozess vollständig automatisiert haben, sollten einfach auf die kurzlebigen Zertifikate umstellen können. Das Projekt hofft, dass im Laufe der Zeit alle auf automatisierte Lösungen umstellen, sodass sich zeigen lässt, dass Kurzzeitzertifikate gut funktionieren. Die standardmäßige Laufzeit wird jedoch von 90 Tagen auf 45 Tage in den kommenden Jahren gesenkt, wie das Projekt bereits im Dezember angekündigt hatte.

Kurzlebige 6-Tage-Zertifikate stellen zudem die Basis für die ab jetzt ebenfalls allgemein verfügbaren IP-Zertifikate dar. Server-Admins können TLS-Verbindungen damit auch zu IP-Adressen authentifizieren. Let’s Encrpyt unterstützt dafür sowohl IPv4 als auch IPv6.

Die Ankündigung für interne Tests der Zertifikate mit verkürzter Laufzeit von sechs Tagen kam vor rund einem Jahr. Zur Jahresmitte folgte dann das erste ausgestellte IP-Zertifikat von Let’s Encrypt.

(dmk)

Kritische Sicherheitslücken in zwei populären WordPress-Plug-ins gefährden Instanzen des CMS im Netz. Angreifer missbrauchen eine der Schwachstellen bereits in freier Wildbahn. Wer WordPress einsetzt, sollte schauen, ob die verwundbaren Plug-ins installiert sind, und diese zügig aktualisieren.

Das Plug-in Modular DS kommt auf mehr als 40.000 aktive Installationen, erklären die IT-Sicherheitsforscher von Patchstack in ihrer Sicherheitsmitteilung. Es dient der Verwaltung mehrerer WordPress-Webseiten und bietet dazu Monitoring, Updaten und das Erledigen weiterer Aufgaben aus der Ferne. In der Version 2.5.1 und älteren von Modular DS ermöglicht eine Schwachstelle die Ausweitung der Rechte. Mehrere Probleme lassen sich verketten, etwa die Umgehung der Authentifizierung, automatisches Log-in als Admin und eine direkte Route-Auswahl (CVE-2026-23800, CVSS 10, Risiko „kritisch“).

Details erörtert Patchstack in der Mitteilung. Seit Freitag vergangener Woche beobachten die IT-Forscher zudem aktive Angriffe auf die Lücken. Einige Indizien für Kompromittierungen (Indicators of Compromise, IOCs) nennt die Analyse auch. Dazu gehören HTTP-Get-Aufrufe an den API-Endpunkt „/api/modular-connector/login/“ mit origin-Parameter „mo“ und type „foo“. Die Angreifer versuchen, einen „PoC Admin“-Zugang mit WordPress-Administratorrolle anzulegen, wobei der User-Name „admin“ enthält und eine ungültige E-Mail-Adresse verwendet wird. Drei IP-Adressen hat Patchstack außerdem mit den Angriffen in Verbindung bringen können. Weitere Attacken erfolgen auf „/?rest_route=/wp/v2/users&origin=mo&type=x“, oftmals mit User-Agent als „firefox“ und „username“ mit Bestandteil „backup“. Die Version 2.6.0 oder neuer stopft das Sicherheitsleck.

Weiter verbreitetes WordPress-Plug-in

Das WordPress-Plug-in „Advanced Custom Fields: Extended“ bringt es sogar auf mehr als 100.000 aktive Installationen. Das erklärt Wordfence in einer Sicherheitsmitteilung. Bis zur Version 0.9.2.1 des Plug-ins können nicht authentifizierte Angreifer bei der Registrierung als Rolle „Administrator“ angeben und damit vollen Zugriff auf die Instanz erhalten, da die „insert_user“-Funktion keine Einschränkungen vornimmt. Als Einschränkung nennen die IT-Sicherheitsforscher, dass sich das nur missbrauchen lässt, wenn „role“ dem benutzerdefinierten Feld zugeordnet wird (CVE-2025-14533, CVSS 9.8, Risiko „kritisch“). Ab Version 0.9.2.2 des Plug-ins ist das Problem gelöst.

Im November warnten IT-Sicherheitsforscher vor einer Schwachstelle im WordPress-Plug-in AI Engine. Auch das kommt auf mehr als 100.000 WordPress-Instanzen zum Einsatz. Angreifer konnten das Sicherheitsleck missbrauchen, um ihre Rechte zum Admin auszuweiten und damit die Instanz zu übernehmen.

(dmk)

Die Sicherheitsupdates, die Microsoft am Januar-Patchday für Windows 11 veröffentlicht hat, erzeugen weitere unerwünschte Nebenwirkungen. Das klassische Outlook kann einfrieren oder hängen, wenn damit POP3-Mailkonten verwaltet werden.

Das hat Microsoft nun in einem Support-Artikel eingeräumt. Ursächlich ist offenbar das Update KB5074109 für Windows 11 24H2 und 25H2, das Microsoft zum Patchday in der Nacht zum Mittwoch vergangener Woche veröffentlicht hat.

Outlook-Probleme nach Patchday

„Nachdem Windows 11 mit den Januar-Updates aktualisiert wurde, berichten User mit Outlook POP-Konten-Profilen, dass sich Outlook nicht korrekt schließt. Das bedeutet, dass Outlook nicht wieder startet, nachdem es beendet wurde“, schreibt Microsoft. „Zudem berichten einige Nutzerinnen und Nutzer von Hängern oder eingefrorenem Outlook“, ergänzen die Entwickler. Es handele sich um ein „aufkommendes Problem“, zu dem Microsoft noch nicht alle Symptome kenne.

Die Outlook- und Windows-Teams untersuchen das Problem derzeit noch immer. Zu dem Problem gibt es eine Diskussion in den Learn-Foren von Microsoft. Dort können Betroffene Fragen stellen oder Rückmeldungen liefern. Eine Lösung gibt es demnach bislang nicht. Die bislang akzeptierte Lösung im Forum ist die Deinstallation des Sicherheitsupdates vom Januar. Das ist jedoch keine gute Idee, da die Updates bereits in freier Wildbahn attackierte Sicherheitslücken abdichten.

Die Januar-Patches hatten bereits weitere Störungen verursacht. Etwa das nur noch im Enterprise- und Edu-Bereich unterstützte Windows 11 23H2 konnte nach der Installation der Sicherheitsaktualisierungen nicht mehr korrekt in den Schlafmodus wechseln oder herunterfahren. So ziemlich alle unterstützten Windows-Versionen für Desktop und Server hatten nach dem Anwenden der Patchday-Softwareflicken Verbindungsprobleme der Windows App mit Windows 365 sowie Azure Virtual Desktop zu beklagen.

Am Wochenende hatte Microsoft deshalb Updates außer der Reihe nachgeschoben. Die sind für diverse Windows-Versionen verfügbar und korrigieren die Probleme der Windows-App mit Remote-Desktop-Verbindungen. Auch für Windows 11 23H2 haben die Entwickler ein weiteres Out-of-Band-Update geliefert, um die Probleme mit dem Herunterfahren und Ruhezustandsmodus einzuhegen.

(dmk)