Admins, die PCs mit HP Device Manager verwalten, sollten die Anwendung aus Sicherheitsgründen auf den aktuellen Stand bringen. Außerdem haben die Entwickler mehrere BIOS-Lücken geschlossen.

Sicherheitsupdates installieren

Verschiedene Computer von HP sind über insgesamt sechs UEFI-Sicherheitslücken attackierbar. Sind Attacken erfolgreich, können sich Angreifer höhere Nutzerrechte verschaffen (etwa CVE-2025-20064 „hoch“). Die betroffenen Modelle und Links zu den Sicherheitspatches finden sich in einer Warnmeldung.

Die Geräteverwaltungssoftware Device Manager ist über mehrere Schwachstellen in Komponenten wie Curl (CVE-2023-38545 „kritisch“), OpenSSL (CVE2025-9230 „hoch“) und Tomcat (CVE-2025-52434 „hoch“) angreifbar. Darüber kann im schlimmsten Fall Schadcode auf Systeme gelangen. In einer Warnmeldung führen die Entwickler aus, dass HP Device Manager 5.0.16 gegen die geschilderten Attacken abgesichert ist.

(des)

Wer noch Windows 7, 8 oder 8.1 einsetzt, deren Support durch Microsoft in den Jahren 2016 bis 2023 endete, kann immer noch mit dem Webbrowser Firefox ESR 115 unter diesen Betriebssystemen surfen. Die werden zwar nicht mehr mit Sicherheitsupdates ausgestattet, aber Firefox ESR 115 schon. Das wollte Mozilla im Februar 2026 einstellen. Nun gibt es noch mal Nachschlag für Betroffene.

Das erklären die Firefox-Entwickler in einem aktualisierten Support-Beitrag. Zuvor wurde zwar angekündigt, dass der Support im Februar 2026 ende, schreiben sie dort. „Aber um sicherzustellen, dass unsere Nutzer weiter im Netz surfen können, verlängern wir den Support für diese Betriebssysteme um weitere sechs Monate und bewerten die Lage anschließend noch mal neu“, führen sie aus. „Danach sollten Nutzer und Nutzerinnen ihre Betriebssysteme aktualisieren, wenn der Support nicht weiter verlängert wird, um weiterhin Firefox-Sicherheits- und Funktionsupdates zu erhalten.“

Die Programmierer heben hervor, dass der Support für Windows 7, 8 und 8.1 spätestens im Januar 2023 offiziell beendet wurde und dass nicht unterstützte Betriebssysteme keine Sicherheitsupdates erhalten – und zudem bekannte Schwachstellen enthalten. Ohne offizielle Unterstützung durch Microsoft werde die Pflege von Firefox für veraltete Betriebssysteme für Mozilla kostspielig und riskant für Nutzer und Nutzerinnen.

Firefox: Erweiterte Gnadenfrist

Erst Mitte Februar 2026 hatte Mozilla deutlich auf das Support-Ende für Firefox unter Windows 7, 8 und 8.1 hingewiesen. Von diesem „endgültigen“ Standpunkt sind die Entwickler nun wieder abgewichen. Die weiteren Hinweise bleiben jedoch bestehen: Der Wechsel auf andere Browser nach dem Firefox-Support-Ende für die genannten Betriebssysteme sei keine Option, da diese in der Regel die Unterstützung bereits eingestellt haben. Das Upgrade auf Windows 10 oder neuer helfe. Auf Hardware, die davon nicht unterstützt wird oder falls es andere Beweggründe dafür gibt, könne ein Wechsel auf ein Linux-basiertes Betriebssystem erfolgen, empfehlen die Firefox-Entwickler. Die große Mehrheit davon komme mit Firefox als Standardbrowser daher.

(dmk)

Der Cyber Resilience Act (CRA) der EU ist ein wichtiges Thema der Fachmesse embedded world 2026 in Nürnberg. Die CRA-Verordnung, die „ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt“, zwingt viele Hersteller von Industriesteuerungen, Robotern, Messgeräten zu tiefgreifenden Veränderungen über den gesamten Lebenszyklus ihrer Produkte.

Zahlreiche Produkte dürfen ab Ende 2027 nicht mehr in der EU verkauft werden, falls sie die CRA-Vorgaben nicht erfüllen.

Branchenkenner erwarten Nebenwirkungen, beispielsweise die Abkündigung älterer Chips und IT-Komponenten. Der CRA könnte sich ähnlich auswirken wie die seit 2022 verschärften Vorschriften für die Cybersicherheit von Autos: Die führten dazu, dass Modelle wie Audi TT und R8, VW T6.1, Porsche Cayman und Boxster, Smart EQ Fortwo und Renault Zoe nicht mehr in der EU ausgeliefert wurden. Laut den jeweiligen Herstellern lohnte sich der Aufwand für die Überarbeitungen bei diesen älteren Fahrzeugtypen nicht mehr.

Ersatzteilschwund

Produktions- oder Lieferstopps für ältere IT-Komponenten können Probleme bei der Ersatzteilversorgung für alte Systeme nach sich ziehen. Dazu kommt aktuell noch ein zweites Problem: Die schlechte Verfügbarkeit von DRAM- und NAND-Flash-Chips.

Gegenüber heise online äußerten einige Aussteller auf der Fachmesse embedded world 2026, dass sie vor allem die Einstellung von günstigeren Versionen älterer Produktbaureihen erwarten. Denn bei denen ließen sich zusätzliche Kosten erst durch höhere Stückzahlen wieder einspielen. Und letztere seien noch schwieriger zu erreichen, wenn RAM und Flash-Speicher immer teurer würden.

CRA-Aufwand und PQC

Die CRA-Vorgaben wirken oberflächlich betrachtet nicht besonders aufwendig. Doch der Teufel steckt in vielen Details. So ist schon seit Jahren sehr viel Software im Spiel, meistens aus unterschiedlichen Quellen. Dazu kommt die Firmware für jeden einzelnen eingebauten Mikrocontroller oder auch das UEFI-BIOS.

Die Sicherheitsregeln, Meldepflichten für Schwachstellen und Dokumentationsvorgaben gelten zudem für zahlreiche Bauteile eines Systems und entlang deren Lieferkette.

Bei vielen Embedded Systems kommt hinzu, dass sie relativ lange Entwicklungszeiten haben und dann beispielsweise in Industriesteuerungen mehr als zehn Jahre lang betrieben werden. Heute in der Entwicklung befindliche Geräte dürften also bis in die späten 2030er-Jahre hinein laufen.

Deshalb wiederum empfehlen manche Hersteller den Einsatz oder jedenfalls die Vorbereitung quantensicherer Verschlüsselung (Postquantenkryptografie, Post Quantum Cryptography/PQC), zumindest für geschützte Firmware-Updates.

(ciw)