Die US-amerikanische IT-Sicherheitsbehörde CISA hat eine Warnung vor den kürzlich entdeckten Supply-Chain-Angriffen auf mehrere Produkte veröffentlicht. IT-Verantwortliche sollten das zum Anlass nehmen, zu prüfen, ob sie unwissentlich mit Malware verseuchte Pakete einsetzen.

Insgesamt warnt die CISA vor drei Vorfällen. An erster Stelle stehen die Daemon Tools, die zwischen dem 8. April und 5. Mai 2026 mit Malware infizierte Installer von Daemon Tools Lite ausgeliefert haben. Die Version 12.6 und neuere der Daemon Tools Lite enthalten keinen Schadcode mehr, versichert der Anbieter. Der Vorfall hat einen CVE-Schwachstelleneintrag erhalten (CVE-2026-8398, CVSS 9.8, Risiko „kritisch“). Ungewöhnlich ist die Dringlichkeit, die die CISA zum Fixen vorgibt: Statt der üblichen zwei Wochen haben US-amerikanische Behörden lediglich bis zum 30. Mai Zeit, die bereinigte Software zu verteilen.

Ein weiterer Lieferkettenangriff erfolgte auf TanStack. Dabei haben die bösartigen Akteure 42 Pakete kompromittiert, mit 84 kompromittierten Versionen. Nach nur 20 Minuten sind die infizierten Pakete aufgeflogen (der CVE-Eintrag spricht gar nur von 6 Minuten am 11. Mai 2026, von 19:20 bis 19:26 Uhr UTC) und seitdem als „deprecated“ markiert, es ist jedoch unklar, wie oft sie installiert wurden. Betroffene sollten ihre Zugangsdaten auf jeden Fall erneuern. Der zugehörige CVE-Schwachstelleneintrag hat die Nummer CVE-2026-45321 erhalten (CVSS 9.8, Risiko „kritisch“).

Dritte Supply-Chain-Attacke

Auch das Entwickler-Tool Nx Console wurde im Mai 2026 Opfer eines Supply-Chain-Angriffs. Die Version 18.95.0 war betroffen, zwischen 12:30 und 13:09 Uhr UTC stand kompromittierte Software zum Download bereit. Das Problem ging offenbar von einer vereinzelten Entwickler-Maschine aus, die eine Woche zuvor ein manipuliertes TanStack-Paket gezogen und dann eingebaut hat. Ein Postmortem-Bericht der Nx-Console-Maintainer geht in die Details. Der Schwachstelleneintrag lautet CVE-2026-48027 (CVSS 9.8, Risiko „kritisch“).

Der letzte Vorfall zeigt, dass eine Kompromittierung durch die Lieferkette rasch und zunächst unbemerkt erfolgen kann. Entwickler sollten gegebenenfalls die eingesetzten Pakete einmal prüfen, ob dort bekannt kompromittierte Pakete hereingerutscht sind.

(dmk)

Microsoft will die Speichersicherheit in C# verbessern. Dazu überarbeitet das .NET-Team das bisherige unsafe-Modell mit dem Ziel, unsichere Operationen sichtbarer und überprüfbarer zu machen, was Speicherfehlern und damit auch Sicherheitslücken vorbeugen soll. Live gehen sollen die Änderungen mit C# 16, das voraussichtlich Ende 2027 erscheint.

KI-Coding begünstigt Speicherfehler

Das bisherige unsafe-Modell ist so alt wie das 2002 erschienene C# 1.0. Änderungsbedarf bestehe nun aber unter anderem wegen der hohen Geschwindigkeit KI-gestützter Softwareproduktion, denn die skaliere schneller als die menschliche Überprüfung, was zu mehr Speicherfehlern führen könne. Das schreibt .NET-Produktmanager Richard Lander in einem ausführlichen Blogpost.

Da viele Sicherheitslücken auf Speicherfehler zurückgehen, empfehlen internationale Sicherheitsbehörden schon seit Längerem, speichersichere Programmiersprachen in der kommerziellen Softwareentwicklung zu nutzen, wobei auch Rust explizit genannt wird.

Kein Versteckspiel mehr

Unsicheren Code blockiert C# bereits standardmäßig, doch das neue Sicherheitsmodell soll einen deutlich größeren Bereich abdecken. Dafür hat sich das .NET-Team von Rust inspirieren lassen und will Rusts Konzept der Sichtbarkeit und Weitergabe von Unsicherheit sowie dessen Syntax für C# übernehmen.

Das neu definierte Schlüsselwort unsafe greift künftig auf Member-Ebene statt auf Typ-Ebene, also dort, wo ein konkreter unsicherer Speicherzugriff stattfindet, etwa in einer bestimmten Methode oder Eigenschaft.

Des Weiteren gelten Pointer‑Typen nicht mehr automatisch als unsicher, sondern erst dann, wenn sie auf den Speicherinhalt zugreifen. Das soll verhindern, dass Sicherheitsregeln und ‑annahmen versteckt oder stillschweigend vorausgesetzt werden. Nun sollen sie für Entwicklerinnen und Entwickler klarer erkennbar und nachprüfbar sein, so Richard Lander.

Für .NET 11 und C# 15 plant Microsoft eine Opt-in-Vorschau des neuen unsafe-Modells. Die endgültige Version soll vermutlich Ende 2027 mit C# 16 und .NET 12 kommen. Um die Nutzung des neuen Sicherheitsmodells zu fördern, könnte es auf NuGet.org, dem Paket-Repository für .NET, künftig spezielle Badges für entsprechende Bibliotheken von Package‑Maintainern geben.

(mro)

Ein weiteres Update steht für Notepad++ bereit. Es schließt drei Sicherheitslücken, von denen zwei als hohes Risiko eingestuft sind und Angreifern ermöglichen, etwa Befehle oder gar Schadcode einzuschmuggeln und auszuführen.

In der Release-Ankündigung zu Notepad++ v8.9.6.1 schreibt Entwickler Don Ho, dass die neue Version die drei Schwachstellen ausbessert. In der Konfigurationsdatei „config.xml“ gibt es keine Einschränkung für den Parameter „commandLineInterpreter“, sodass etwa Angreifer mit Nutzerrechten den Eintrag anpassen oder mittels bösartigem .lnk eigene Dateien starten lassen können. Damit diese Datei gestartet wird, müssen Opfer „Datei“ – „Aktuellen Ordner öffnen“ und dort „Eingabeaufforderung (cmd)“ auswählen. Die Lösung sieht vor, die erlaubten Einträge etwa auf cmd.exe, powershell.exe oder bash.exe zu beschränken, eine Pfadprüfung sowie eine Rückfrage bei Nutzern zu stellen (CVE-2026-48778, CVSS 7.8, Risiko „hoch“).

Eine ähnliche Schwachstelle öffnet das „“-Tag innerhalb von „“ in der „shortcuts.xml“-Datei. Die führt aus, was immer dort eingetragen ist, nach dem Klick auf den entsprechenden Eintrag unter „Ausführen“ im Notepad++-Menü. Hier soll ebenfalls die Nutzer-Rückfrage vor Ausführung helfen oder etwa eine Warnung, wenn dort neue Einträge auftauchen, die nicht über die Programm-GUI angelegt wurden (CVE-2026-48800, CVSS 7.8, Risiko „hoch“). Die dritte Lücke ermöglicht lokalen Prozessen, „WM_COPYDATA“-Nachrichten an Notepad++ zu schicken; mit präparierten Anfragen bringt das Notepad++ zum Absturz, ein Denial-of-Service ist möglich (CVE-2026-48770, CVSS 5.0, Risiko „mittel“).

Aktualisierte Software-Version

Auf der Download-Seite des Notepad++-Projekts steht die neue Version in verschiedenen Formaten zum Herunterladen bereit. Die aktualisierte Software müssen Nutzerinnen und Nutzer derzeit noch manuell herunterladen und überinstallieren. Der integrierte Update-Mechanismus von Notepad++ v8.9.5 meldet, die Software sei aktuell – Ho hat die neuen Releases (auch die Version v8.9.6) also noch nicht darüber freigegeben.

Ende vergangener Woche hatte Don Ho Version v8.9.6 von Notepad++ veröffentlicht. Sie schloss eine Sicherheitslücke im Installer.

(dmk)