Der Security-Podcast wird 50 Folgen alt (oder doch 51?). Die Hosts freuen sich, dass die Hörer und Hörerinnen weiter Freude an „Passwort“ haben, wie sich unter anderem am Feedback zeigt. Von dem gab es in letzter Zeit besonders viel, auf das Christopher und Sylvester gerne eingehen.

Anschließend geht es um die Nachricht, dass Microsoft BitLocker-Schlüssel an Strafverfolgungsbehörden herausgibt. Das überrascht zwar die Hosts nicht sonderlich, aber viele Menschen sehen darin offenbar ein großes Risiko, das ihnen bislang nicht bewusst war. Eine gute Gelegenheit, im Podcast über BitLocker und seine Vor- und Nachteile zu reden, darüber, was Microsoft besser machen könnte, und darüber, ob die Konkurrenz es besser macht.

Danach erzählt Christopher von einem Post in Cloudflares Blog, der eigentlich demonstrieren sollte, was mit den „Workers“ des Unternehmens so alles machbar ist: angeblich ein voll funktionstüchtiger Server für das Chatprotokoll Matrix. Allerdings zeigte der Blogpost unbeabsichtigt vor allem, wie schnell man mit KI-Systemen zu einem großen Haufen Code kommt, über den man nicht mal mehr einen groben Überblick hat, und der viel von dem, was er tun soll, in Wahrheit nicht tut. Jenseits der Fehler des verantwortlichen Entwicklers wirft der Post und sein „Update“ vorrangig ein schlechtes Licht auf die Art und Weise, wie Cloudflare Öffentlichkeitsarbeit betreibt. Die Geschichte ist wahrlich keine Sternstunde des höchst Security-relevanten Unternehmens und lässt die Hosts etwas konsterniert zurück.

Im weiteren Verlauf der Folge erzählt Sylvester von einer Zeichenkette, die absichtlich Anthopics generative KI „Claude“ abbrechen lässt – und sich daher bestens eignet, um darauf aufbauende Software aus dem Tritt zu bringen. Christopher hingegen berichtet von WhisperPair, einer interessanten Sicherheitslücke in vielen Bluetooth-Geräten, die „Fast Pair“ unterstützen.

Mit vier Themen sind die Hosts freilich noch lange nicht am Ende. Aber um ihren treuen Hörern und Hörerinnen zum Folgen-Jubiläum eine kleine VerschnaufpauseÜberraschung zu bieten, haben sie den Rest in eine zusätzliche Bonusfolge ausgelagert, die in einer Woche erscheint.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL_1FAEFB6177B4672DEE07F9D3AFC62588CCD2631EDCF22E8CCC1FB35B501C9C86

(syt)

Derzeit haben es Angreifer auf SmarterMail-Instanzen abgesehen. Sind Attacken erfolgreich, erlangen sie als Admin die volle Kontrolle. Eine reparierte Version steht zum Download bereit.

Alle drei mittlerweile in SmarterMail 100.0.9511 geschlossenen Sicherheitslücken (CVE-2026-23760), CVE-2026-24423, CVE-2025-52691) sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Alle vorigen Ausgaben sollen verwundbar sein. Der US-Sicherheitsbehörde CISA zufolge nutzen Angreifer die ersten beiden Schwachstellen bereits aus.

Ernste Gefahren

Im ersten Fall ist die Passwort-Reset-API löchrig und es kommt zu Fehlern beim Zurücksetzen von Systemadministratorkonten. Weil in diesem Kontext unzureichend geprüft wird, kommen anonyme Anfragen durch und Angreifer erstellen ohne Authentifizierung Admin-Konten. Im Anschluss können sie als Root auf den Host zugreifen, was einer vollständigen Kompromittierung gleichkommt.

Im zweiten Fall können Angreifer Verbindungen zu einem unter ihrer Kontrolle befindlichen HTTP-Server erzwingen und darüber Schadcode servieren. Die dritte Lücke ist mit dem maximalen CVSS Score 10 von 10 eingestuft. An dieser Stelle können entfernte Angreifer ohne Anmeldung Schadcode hochladen und ausführen.

In welchem Umfang die Attacken derzeit ablaufen, ist nicht bekannt. Unklar ist zum jetzigen Zeitpunkt auch, woran Admins bereits erfolgreich attackierte Instanzen erkennen können. In den Release Notes zu SmarterMail-Versionen finden sich nur äußerst knappe Hinweise auf die Sicherheitsprobleme.

Zumindest in einem Fall ist klar, dass Admins nach ihnen unbekannten Admin-Konten Ausschau halten und diese umgehend löschen müssen. Doch dann ist es wahrscheinlich schon zu spät, und Angreifer haben sich eine Hintertür eingerichtet. Dementsprechend müssen Admins Logdateien im Auge behalten und verdächtigen Netzwerkverkehr blockieren.

(des)

Stimmen die Voraussetzungen, sind unbefugte Zugriffe auf verschiedene Firebox-Modelle von WatchGuard möglich. Admins sollten das verfügbare Sicherheitsupdate zeitnah installieren. Bislang gibt es keine Berichte, dass Angreifer Geräte über diesen Weg attackieren.

Instanzen vor möglichen Attacken schützen

In einer Warnmeldung führen die Entwickler aus, dass die Schwachstelle (CVE-2026-1498 „hoch“) Firewalls mit den Fireware-OS-Ausgaben 12.x, 12.5.x (Modelle T15 und T35) und 2025.1 bedroht. Der Beschreibung der Lücke zufolge können entfernte Angreifer ohne Authentifizierung an der LDAP-Authentifizierung ansetzen und auf eigentlich nicht einsehbare Informationen zugreifen. Verfügt ein Angreifer über eine gültige Passphrase eines legitimen Nutzers, kann er im Kontext einer Attacke als dieser Nutzer auf Instanzen zugreifen. Die Entwickler geben an, die Versionen 12.5.16, 12.11.7 und 2026.1 repariert zu haben.

Ende vergangenen Jahres sorgten Schadcode-Attacken auf WatchGuard-Firewalls für Schlagzeilen.

(des)