Die US-amerikanische Cybersicherheitsbehörde CISA warnt vor beobachteten Angriffen auf eine Sicherheitslücke in VMware Aria Operations und auf Qualcomm-Prozessoren von Android-Geräten. Admins von VMware Aria Operations können sich mit dem Anwenden von Updates behelfen, für einige verwundbare Android-Geräte stehen ebenfalls Aktualisierungen bereit.

Die CISA hat die beiden attackierten Schwachstellen in der Nacht zum Mittwoch dieser Woche in den „Known Exploited Vulnerabilities“-Katalog (KEV) aufgenommen. Eine der Lücken betrifft die Qualcomm-Prozessoren von Android-Mobilgeräten. Darin können Angreifer einen „Speicherfehler bei Verwendung von Ausrichtungen (Alignments) für die Speicherallokation“ missbrauchen – solche Speicherfehler können oftmals zum Ausführen von eingeschleustem Schadcode führen (CVE-2026-21385, CVSS 7.8, Risiko „hoch“). Da die CISA keine Hinweise gibt, wie die Angriffe aussehen, ist jedoch unklar, in welchem Umfang die Attacken laufen. Auch Google hat den Missbrauch der Lücke zum Android-Patchday am Dienstag dieser Woche eingeräumt, aber auch hier fehlen jedwede Details. Die Lücken sollen die Android-Sicherheitspatch-Level 2026-03-01 sowie 2026-03-05 schließen.

Schwachstelle in VMware Aria Operations angegriffen

In der vergangenen Woche hatte Broadcom eine Warnung veröffentlicht, die Sicherheitslecks in VMware Aria Operations betraf. Die Software kommt auch in Cloud Foundation, Telco Cloud Platform, Telco Cloud Infrastructure und vSphere Foundation zum Einsatz, sodass auch diese verwundbar sind.

Die CISA meldet nun Angriffe auf eine Schwachstelle, die nicht authentifizierten Akteuren das Ausführen beliebiger Befehle und in der Folge von beliebigem Schadcode aus dem Netz in VMware Aria Operations ermöglicht. Die Software muss dazu jedoch im Status einer Support-unterstützten Produktmigration sein (CVE-2026-22719, CVSS 8.1, Risiko „hoch“). Unklar ist, ob die Angreifer die Software selbst in diesen Status bringen können. Broadcom hat die eigene Warnung aktualisiert und darin ergänzt, dass dem Unternehmen Berichte bekannt seien, denen zufolge die Lücke in freier Wildbahn attackiert werde. Es könne deren Wahrheitsgehalt jedoch nicht unabhängig prüfen. Admins sollten unabhängig von der Broadcom-Einschätzung die verfügbaren Aktualisierungen zügig anwenden, um die Angriffsfläche der eigenen IT-Infrastruktur zu reduzieren.

(dmk)

Die Ausnahmeregel, die Internet-Diensten eine freiwillige Chatkontrolle erlaubt, hat gestern einen Dämpfer bekommen. Die EU-Abgeordneten im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres haben eine Verlängerung der Ausnahme-Verordnung gestern überraschend abgelehnt.

Eigentlich verbietet die Datenschutzrichtlinie für elektronische Kommunikation das Überwachen von Nachrichten ohne Einwilligung der betroffenen Nutzer. Seit 2021 erlaubt eine vorübergehende Ausnahme Anbietern eine freiwillige Chatkontrolle. Kommission und Rat wollen diese Ausnahme ein zweites Mal verlängern. Das Parlament verhandelt gerade seine Position.

Gleichzeitig verhandeln die EU-Gesetzgeber über die CSA-Verordnung. Dieses Gesetz ist ungleich wichtiger: Es wird dauerhaft gelten, es könnte Anbieter auch gegen ihren Willen verpflichten, eine Chatkontrolle durchzuführen, und es könnte auch verschlüsselte Kommunikation betreffen.

Den einen zu viel, den anderen zu wenig

Die Verhandlungen zur vorübergehenden freiwilligen Chatkontrolle finden vor diesem Hintergrund statt. Kommission, Rat und Konservative wollen die freiwillige Chatkontrolle wie bisher ohne Änderungen verlängern, bis das dauerhafte Gesetz in Kraft tritt.

Sozialdemokraten wollen die Dauer der freiwilligen Chatkontrolle begrenzen. Liberale, Grüne und Linken wollen die freiwillige Chatkontrolle auf Verdächtige begrenzen.

Die gestrige Abstimmung war dementsprechend kompliziert. Von 25 Änderungsanträgen wurden einige angenommen, andere nicht.

Ein Antrag, die Chatkontrolle auf bekannte Inhalte zu beschränken und Verschlüsselung zu schützen, fiel durch. Ein Antrag, die Dauer der Ausnahmeregel zu verkürzen, wurde ebenso abgelehnt. Ein Antrag, dass die Kommission jährlich Bericht erstatten muss, wurde angenommen. Ein Antrag, den Verhandlungen zur CSA-Verordnung nicht vorzugreifen und Verschlüsselung zu schützen, kam ebenfalls durch.

Mit diesen Änderungen war niemand vollständig glücklich. Den Rechten geht die Chatkontrolle nicht weit genug. Den Linken geht die Chatkontrolle zu weit.

Am Ende stimmten 38 Abgeordnete gegen den Kompromissvorschlag, 28 dafür, drei enthielten sich.

Vom Ausschuss ins Plenum

Dieses Ergebnis hat viele überrascht, auch im Parlament. Wir haben einige Abgeordneten-Büros und das Ausschuss-Sekretariat angefragt. Viele haben so eine Situation noch nicht erlebt. Wie der Prozess weitergeht, ist nicht ganz sicher.

Nach der Abstimmung im Ausschuss geht der Gesetzentwurf nächste Woche ins Plenum des Parlaments. Dort können alle Abgeordneten darüber abstimmen. Da der Entwurf jedoch im Ausschuss durchgefallen ist, wird der Ausschuss dem Plenum empfehlen, ebenfalls dagegen zu stimmen.

Einige zivilgesellschaftliche Akteure wünschen sich eine Ablehnung. Das ist jedoch nicht sehr wahrscheinlich. Immerhin argumentieren Befürworter wie Kommission, Rat und Tech-Unternehmen damit, dass die Chatkontrolle Kindesmissbrauch bekämpft – auch wenn die offiziellen Zahlen das nicht belegen können.

Die vorübergehende Ausnahme gilt bis zum 3. April. Gibt es bis dahin keine Einigung, ist die freiwillige Chatkontrolle wieder verboten. Das entspricht zwar dem Gesetz. Aber das wollen viele Akteure verhindern.

Konservative wollen Chatkontrolle

Viele Abgeordnete und Fraktionen werden ihre Strategie überdenken und anpassen. Vor allem die Konservativen wollen die Chatkontrolle, auch wenn sie im Ausschuss gegen den Kompromiss gestimmt haben.

Die Berichterstatterin für das Gesetz ist die deutsche Sozialdemokratin Birgit Sippel. Ihr Team arbeitet jetzt daran, doch noch eine Einigung für die vorübergehende freiwillige Chatkontrolle zu finden.

Nach dem Beschluss des Parlaments folgt der Trilog mit Kommission und Rat. Parallel dazu verhandeln die Institutionen über die dauerhafte und verpflichtende Chatkontrolle.

Angreifer können insgesamt an sieben Sicherheitslücken in HCL BigFix ansetzen und Computer im schlimmsten Fall kompromittieren.

Wie aus einer Warnmeldung hervorgeht, stecken die Lücken in den Komponenten Axios, jsPDF und React Router, die die Endpoint-Management-Plattform nutzt. Die meisten und gefährlichsten Lücken stecken in jsPDF.

Schadcode-Attacken möglich

Darüber können Angreifer etwa auf Daten im Dateisystem zugreifen (CVE-2025-68428 „kritisch“) oder Schadcode in PDFs einbetten, der beim Öffnen ausgeführt wird (CVE-2026-24737 „hoch“). Bislang gibt es keine Berichte, dass Angreifer die Sicherheitslücken bereits ausnutzen.

Die Entwickler versichern, HCL BigFix in der Ausgabe 1.0.2 update 2 repariert zu haben.

(des)