Wer noch Windows 7, 8 oder 8.1 einsetzt, deren Support durch Microsoft in den Jahren 2016 bis 2023 endete, kann immer noch mit dem Webbrowser Firefox ESR 115 unter diesen Betriebssystemen surfen. Die werden zwar nicht mehr mit Sicherheitsupdates ausgestattet, aber Firefox ESR 115 schon. Das wollte Mozilla im Februar 2026 einstellen. Nun gibt es noch mal Nachschlag für Betroffene.

Das erklären die Firefox-Entwickler in einem aktualisierten Support-Beitrag. Zuvor wurde zwar angekündigt, dass der Support im Februar 2026 ende, schreiben sie dort. „Aber um sicherzustellen, dass unsere Nutzer weiter im Netz surfen können, verlängern wir den Support für diese Betriebssysteme um weitere sechs Monate und bewerten die Lage anschließend noch mal neu“, führen sie aus. „Danach sollten Nutzer und Nutzerinnen ihre Betriebssysteme aktualisieren, wenn der Support nicht weiter verlängert wird, um weiterhin Firefox-Sicherheits- und Funktionsupdates zu erhalten.“

Die Programmierer heben hervor, dass der Support für Windows 7, 8 und 8.1 spätestens im Januar 2023 offiziell beendet wurde und dass nicht unterstützte Betriebssysteme keine Sicherheitsupdates erhalten – und zudem bekannte Schwachstellen enthalten. Ohne offizielle Unterstützung durch Microsoft werde die Pflege von Firefox für veraltete Betriebssysteme für Mozilla kostspielig und riskant für Nutzer und Nutzerinnen.

Firefox: Erweiterte Gnadenfrist

Erst Mitte Februar 2026 hatte Mozilla deutlich auf das Support-Ende für Firefox unter Windows 7, 8 und 8.1 hingewiesen. Von diesem „endgültigen“ Standpunkt sind die Entwickler nun wieder abgewichen. Die weiteren Hinweise bleiben jedoch bestehen: Der Wechsel auf andere Browser nach dem Firefox-Support-Ende für die genannten Betriebssysteme sei keine Option, da diese in der Regel die Unterstützung bereits eingestellt haben. Das Upgrade auf Windows 10 oder neuer helfe. Auf Hardware, die davon nicht unterstützt wird oder falls es andere Beweggründe dafür gibt, könne ein Wechsel auf ein Linux-basiertes Betriebssystem erfolgen, empfehlen die Firefox-Entwickler. Die große Mehrheit davon komme mit Firefox als Standardbrowser daher.

(dmk)

Nachdem Googles Threat Intelligence Group (GTIG) und das Sicherheitsunternehmen iVerify ein hochkomplexes neues Exploitkit für iOS und iPadOS entdeckt haben, das sowohl von staatlichen Stellen als auch Kriminellen eingesetzt worden sein soll, hat Apple reagiert: Der iPhone-Hersteller hat iOS 15.8.7 und iPadOS 15.8.7 sowie iOS 16.7.15 und iPadOS 16.7.15 zum Download bereitgestellt.

Akute Gefahr für alte Geräte

Während die neue iOS- und iPadOS-15-Version insgesamt vier Lücken stopft – eine im Kernel und drei in der Browser-Engine WebKit –, wird in der neuen iOS- und iPadOS-Version 16 nur ein WebKit-Sicherheitsproblem behoben. Die Fehler reichen jedoch jeweils aus, um Geräte offenbar vollständig zu übernehmen. Sie sind Teil komplexer Exploit-Chains, die in der Malware namens Coruna stecken. Nutzer sollten ihre iPhones und iPads sofort aktualisieren, sollten sie diese alten Betriebssystemversionen noch nutzen.

Coruna ist auch deshalb so gefährlich, weil es an zahlreiche iOS- und iPadOS-Versionen angepasst ist: von iOS 13 bis zu iOS 17.2.1. Das Exploitkit zieht sich jeweils die passenden Angriffsvarianten und führt sie dann aus. Hinzu kommt, dass offenbar noch bis vor wenigen Tagen Websites online waren, über die man sich infizieren konnte. Coruna erlaubt sogenannte 1-Click-Exploits, das heißt, es reicht aus, einen Link im Safari-Browser auf dem iPhone oder iPad aufzurufen, um sich zu infizieren. Neuere iPhones und iPads mit iOS und iPadOS 26 sind laut aktuellem Kenntnisstand nicht betroffen.

Verbindungen nach Russland und China

Laut GTIG soll Coruna unter anderem von Personen mit russischem Spionagebezug eingesetzt worden sein, um Nutzer in der Ukraine anzugreifen. Später sei das Exploitkit aber auch von einem „finanziell motivierten Threat Actor, der aus China operiert“, verwendet worden. Dabei ging es offenbar um Krypto-Scams, jedenfalls verbreiteten sich die Links über derartige Seiten, darunter eine falsche Variante der Kryptobörse WEEX. Welche konkreten Schäden durch Coruna angerichtet wurden, ist noch unklar – ebenso, wer der Hersteller der Malware ist. Günstig dürfte sie angesichts der zahlreichen verwendeten Exploits kaum sein.

Der Vorfall zeigt, dass Nutzer mit älteren iPhones und iPads nach wie vor angegriffen werden. Apple aktualisiert diese nur sporadisch und auch nur dann, wenn derart prominente Fälle auftreten wie jetzt mit Coruna. Das heißt: Andere Lücken unter iOS 15 und 16 stehen weiterhin offen. Am besten abgesichert ist man stets, wenn man die jüngste Betriebssystemversion einspielt. Das kann für Nutzer unbequem sein, die etwa große Veränderungen wie Liquid Glass zunächst nicht mitmachen wollen. Apple lässt nämlich bereits bei der jeweiligen Vorversion einige Patches weg – mit welchen Auswahlkriterien, bleibt unklar.

(bsc)

Eher unbemerkt hat Google den Chrome-Webbrowser allgemein auf Version 146er-Entwicklerzweig aktualisiert. In der Nacht zum Mittwoch hat das Unternehmen die Verteilung begonnen. Erst in der Nacht zum Donnerstag haben die Entwickler jedoch die Release-Ankündigung mit Informationen zu den damit geschlossenen Sicherheitslücken befüllt. Und das sind eine ganze Menge: 29 Schwachstellen bessern die Programmierer im ersten offiziellen Chrome-146-Release aus.

In der Versionsankündigung erörtert Google, dass die aktualisierte Browser-Version eine kritische Schwachstelle ausbessert. In der WebML-Komponente können Angreifer beim Rendern manipulierter HTML-Seiten Speicherstörungen auf dem Heap provozieren und dadurch offenbar eingeschleusten Code ausführen (CVE-2026-3913, kein CVSS-Wert, Risiko laut Google „kritisch“). Der Schwachstellenmelder Tobias Wienand bekommt von Google dafür 33.000 US-Dollar Belohnung.

Von den elf Sicherheitslecks mit der Risikoeinstufung „hoch“ fallen drei besonders ins Auge. Ein Ganzzahl-Überlauf in WebML (CVE-2026-3914, kein CVSS-Wert, Risiko nach Google „hoch“) bringt dem Entdecker sogar 43.000 US-Dollar als Bug-Bounty-Entlohnung ein, denselben Betrag gab es abermals für Wienand für einen weiteren Heap-basierten Pufferüberlauf in dem Modul (CVE-2026-3915, kein CVSS-Wert, Risiko laut Google „hoch“). Für die Meldung einer Schwachstelle, durch die sorgsam präparierte Webseiten einen Lesezugriff außerhalb vorgesehener Speichergrenzen in der „Web Speech“-Komponente auslösen können, gab es noch 36.000 US-Dollar Prämie (CVE-2026-3916, kein CVSS-Wert, Risiko laut Google „hoch“)

Google Chrome: Flut an Sicherheitslücken

In der Versionsankündigung finden sich weitere kurze Informationshappen zu den Schwachstellen, die die neuen Fassungen ausbügeln. Die Versionsnummern für die Fehlerkorrekturen lauten Chrome 146.0.7680.111 für Android, 146.0.7680.40 für iOS, 146.0.7680.71 für Linux sowie 146.0.7680.71/72 für macOS und Windows.

Immerhin: Google schreibt nichts dazu, dass eine oder gar mehrere der Lücken bereits im Internet attackiert würden. Dennoch sollten Chrome-User sicherstellen, dass der Webbrowser auf dem aktuellen Stand ist. Das gelingt etwa durch Aufruf des Versionsdialogs, der sich nach Klick auf das Symbol mit den drei aufeinander gestapelten Punkten rechts von der Adressleiste und dem weiteren Weg über „Hilfe“ – „Über Google Chrome“ öffnet. Der zeigt den derzeit laufenden Stand an und bietet bei Verfügbarkeit die Installation des Updates an. Unter Linux ist in der Regel die Softwareverwaltung der Distribution für Aktualisierungen zuständig. Auf Smartphones sollten in Kürze aktuelle Chrome-Versionen in den App-Stores auftauchen – hier allerdings mit der Eigenheit, dass das deutlich verzögert geschieht und auf einigen Geräten gar mehrere Tage bis Wochen Wartezeit einzukalkulieren sind.

Da die Sicherheitslücken im Chromium-Projekt auftauchen, dürften auch weitere darauf basierende Webbrowser wie etwa Microsofts Edge in absehbarer Zeit aktuelle Fassungen vorlegen. Die sollten Nutzer und Nutzerinnen zeitnah installieren. Erst in der vergangenen Woche hatte Google im Chrome-Webbrowser drei als kritisches Risiko eingestufte Sicherheitslücken geschlossen. Am Microsoft-Patchday im März tauchte die Schwachstellenliste ebenfalls für den Edge-Browser auf.

(dmk)