Die Entwickler von EMBA haben Version 2.0 ihres Firmware-Analysetools veröffentlicht. Das Release markiert nach Angaben des Projekts einen Meilenstein auf dem Weg zur automatischen Erkennung und Verifikation von Schwachstellen in Firmware-Images. EMBA ist ein Bash-basiertes Open-Source-Werkzeug zur automatisierten Firmware-Analyse. Es extrahiert Firmware-Images, führt statische und dynamische Analysen durch, generiert Software Bills of Materials (SBOMs) und erstellt Web-Reports. Die neue Version hebt sich durch eine überarbeitete System-Emulations-Engine hervor, die Geräte in einer emulierten Umgebung automatisch startet und so erkannte Schwachstellen verifiziert.

Benchmarks mit Router-Firmware

Die Entwickler haben EMBA 2.0 mit mehreren Firmware-Testsets verglichen. Beim FirmAE-Corpus, einem vor 2020 zusammengestellten Datensatz mit 1074 Firmware-Images, erreichte EMBA eine Erfolgsrate von 95 Prozent und identifizierte dabei über 6000 Netzwerkdienste. FirmAE selbst war ursprünglich auf eine Erfolgsrate von 79 Prozent optimiert worden, während Firmadyne bloß 16 Prozent schaffte. Als Erfolg gilt hierbei, dass mindestens ein Netzwerkdienst in der emulierten Umgebung erreichbar ist.

Bei einem am Fraunhofer FKIE Home Router Security Report orientierten Testset aus dem Jahr 2020 mit 126 Firmware-Images erreichte EMBA eine Erfolgsrate von 87 Prozent (über 600 Netzwerkdienste), FirmAE kam auf 30 Prozent, Firmadyne auf 5 Prozent. Ein neueres Testset von 2022 mit 121 Images bestätigte den Trend: EMBA emulierte 76 Prozent erfolgreich (rund 400 Netzwerkdienste), FirmAE nur 16 Prozent, Firmadyne lediglich 2 Prozent. Die Benchmarks zeigen, dass die Erfolgsrate bei aktuellerer Firmware sinkt, EMBA aber den Vorsprung zu den älteren Projekten hält.

KI-Integration und SBOM-Unterstützung

Version 2.0 bietet neben der verbesserten Emulation weitere neue Features: Die Integration von Dependency-Track ermöglicht den automatischen Transfer von SBOMs in Vulnerability- und SBOM-Management-Tools. EMBA unterstützt nun VEX (Vulnerability Exploitability eXchange) und erweiterte SBOM-Quellen. Das Tool nutzt CycloneDX-JSON als SBOM-Format und kann die Daten direkt an Dependency-Track übergeben.

Eine KI-unterstützte Firmware-Analyse ergänzt die klassischen Scan-Module. Neue Analysekomponenten wie Capa mit ATT&CK-Support, Semgrep und Zarn für Perl-Analysen erweitern die Erkennungsfähigkeiten. Das Modul S09 zur Binary-Versionserkennung wurde im Threading verbessert, was die Performance steigert. Die Emulation basiert auf QEMU mit einem angepassten Kernel-Build der Version 4.14.336 LTS, der bessere Kompatibilität mit älterer und aktueller Router-Firmware bieten soll.

Alle Details zum Update auf Version 2.0.0 finden sich auf der EMBA-Projektseite auf GitHub.

Offene Fragen zur Reproduzierbarkeit

Während die Benchmark-Ergebnisse beeindruckend ausfallen, bleiben einige Fragen offen. Die genauen Firmware-Korpora sind nicht vollständig dokumentiert, die Testsets orientieren sich an Home-Router-Firmware von Herstellern wie AVM, Netgear und Asus. Die Rohdaten der Firmware-Images liegen nicht direkt im Repository, sondern sind über externe Quellen wie Zenodo verfügbar. Eine unabhängige Verifikation der Benchmarks durch Dritte steht aus, obwohl das Projekt sich auf akademische Arbeiten wie jene zu FirmAE bezieht.

Die Emulation nutzt QEMU und angepasste Kernel-Patches für Bootloader-Kompatibilität. Diese Patches sind teilweise projektspezifisch, eine Einbringung in Upstream-Projekte wie Linux oder QEMU ist laut Issue-Tracker geplant. Bei proprietären Bootloadern und signierten Firmware-Images stößt EMBA an Grenzen, hier greift das Tool auf User-Mode-Emulation oder statische Analyse zurück.

Bei der Ausführung potenziell schadhafter Firmware in Docker- oder VM-Umgebungen empfehlen die Entwickler zusätzliche Sicherheitsmaßnahmen wie Nested VMs, AppArmor oder SELinux. Netzwerk-Leaks und Kernel-Exploits können Risiken darstellen, weshalb produktive Umgebungen gemieden werden sollten. Rechtliche Aspekte wie die Lizenz-Compliance bei extrahierten proprietären Binaries oder DSGVO-Fragen bei gespeicherten Credentials liegen in der Verantwortung der Nutzer.

Enterprise-Einsatz und Responsible Disclosure

Für Enterprise-Anwender sieht EMBA eine Skalierung über Docker-Swarms und Kubernetes vor. Die Web-UI EMBArk ermöglicht Cluster-Deployments, Performance-Tests zeigen über 100 analysierte Images pro Tag auf 64-Core-Systemen. Die Integration in CI/CD-Pipelines ist über Docker-Images als GitHub Actions oder Jenkins-Steps möglich.

Mechanismen für eine Responsible Disclosure bei automatisch identifizierten Zero-Days sind nicht eingebaut. Die Entwickler verweisen auf manuelle CVD-Prozesse über First.org und den Issue-Tracker. Die Aktualität der Vulnerability-Feeds wird über das Update-Skript sichergestellt, das täglich CVE-Datenbanken wie cve-bin-tool und cve-search aktualisiert.

EMBA positioniert sich als freie Alternative zu kommerziellen Firmware-Scannern. Die höhere Emulationsdeckung gegenüber proprietärer Software spricht für das Werkzeug, allerdings erfordert es eine manuelle Verifikation der Ergebnisse.

(fo)

Etwa zwei Wochen nach der Veröffentlichung von Android 16 QPR2 (Quarterly Platform Release) für Pixel-Geräte und im AOSP legt Google nach: Mit der Beta 1 von Android 16 QPR3 (Build: CP11.251114.006) bereitet der Konzern das nächste Update vor, das im März 2026 für alle Pixel-Nutzerinnen und -Nutzer erscheinen wird. Laut Google sind die Builds der QPR-Betas „für die allgemeine Verwendung geeignet“.

Die QPR3 Beta kann nach der Registrierung im Android-Beta-Programm als Over-the-Air-Update auf kompatiblen Smartphones installiert werden. Dazu gehören sämtliche Pixel-Smartphones ab Generation 6, die beiden Foldables von Google sowie das Pixel-Tablet.

Was steckt drin?

Der Umfang der Neuerungen in der Android 16 QPR3 Beta 1 ist recht überschaubar, mit den folgenden QPR3-Betas könnte Google womöglich weitere Features einbauen. Zu den bisher gefundenen Änderungen gehören etwa die Möglichkeit, die „Live-Anzeige“ („At a Glance“) vom Homescreen auszuschließen. Die „Live-Anzeige“ zeigt neben Datum und Wetter auch anstehende Termine und Ereignisse an. Ferner zieht eine etwas andere Animation für Ordner ein und Themed-App-Icons heißen nun „Minimal“.

#

Zudem kann die Taschenlampe mit einem Schieberegler in ihrer Intensität geregelt werden. Überdies integriert Google in den Einstellungen unter „Navigationsmodus“ neben der klassischen Anordnung der Navigationstasten auch die von Samsung. Für Nutzer:innen, die von einem Samsung-Telefon kommen und weiterhin auf die Bedienung des Systems über Softwarebuttons setzen, dürfte die Hürde damit kleiner sein.

Geändert hat Google auch das Hinweissymbol in der Statusleiste, wenn eine App auf die Ortsdaten zugreift. Es ist nun ein kleiner, blauer Punkt. Tippt man auf den Punkt, kann man einsehen, welche Apps den Standort des Geräts verwenden. Außerdem ist es hier möglich, Anwendungen den Zugriff zu verwehren.

Pixel-Nutzer, die ihr Gerät bereits im Android-Beta-Programm registriert haben, erhalten das Update automatisch. Zudem sollte man wissen, dass der Ausstieg aus der Beta ohne Datenverlust nicht möglich ist. Nutzer, die das Update installieren, müssen bis zur finalen Version, die voraussichtlich im März 2026 erscheint, in der Beta bleiben. Verlässt man das Programm früher, wird das Smartphone beim Installieren des stabilen Updates komplett zurückgesetzt.

Android 17 im Sommer 2026

Die Version QPR3 wird das letzte Funktionsupdate für Android 16 sein. Im Sommer, voraussichtlich wieder im Juni, dürfte Google das große Update auf Android 17 freigeben. Im Unterschied zur bisherigen Android-Entwicklung wird es für das Update keine Developer-Previews mehr geben, stattdessen testet Google neue Funktionen über den im Sommer eingeführten Android-Canary-Channel. Anfang des nächsten Jahres – spätestens im März – dürfte Google die erste Betaversion von Android 17 anbieten.

(afl)

Die Drupal Association hat Version 11.3.0 des quelloffenen Content-Management-Systems veröffentlicht. Nach eigenen Angaben handelt es sich um den größten Performance-Schub seit einem Jahrzehnt – seit Drupal 8. Das Release kombiniert zahlreiche Optimierungen im Rendering- und Caching-Layer und setzt erstmals auf die JavaScript-Bibliothek HTMX.

Die Entwickler berichten von 26 bis 33 Prozent mehr verarbeitbaren Anfragen bei gleicher Datenbanklast. Automatisierte Tests zeigen bis zu 33 Prozent weniger Cache-Operationen bei „kalten“ Caches (wenn Cache-Einträge fehlen oder abgelaufen sind) und bis zu 25 Prozent bei teilweise „warmen“ Caches (relevante Daten sind bereits zwischengespeichert und können schnell zur Verfügung stehen). Unabhängige Tests der Firma MD Systems auf komplexen Websites ergaben noch deutlichere Verbesserungen, besonders bei Sites mit hoher Datenbankauslastung.

HTMX reduziert JavaScript-Overhead drastisch

Ein zentraler Baustein der Performance-Optimierung ist der Wechsel zu HTMX in BigPipe. Die JavaScript-Bibliothek ohne externe Abhängigkeiten ermöglicht AJAX-Anfragen, CSS-Transitions, WebSockets und Server-Sent Events direkt über HTML-Attribute. Dadurch ersetzt HTMX bisherige Drupal-eigene Lösungen wie die Form State API und die AJAX API. Der JavaScript-Overhead für Browser-Server-Interaktionen sinkt um bis zu 71 Prozent.

BigPipe lädt JavaScript nun nur noch bei Bedarf und fängt Platzhalter proaktiv ab, um sie mit bereits „vorgewärmten“ Render-Caches zu ersetzen. Das beschleunigt das Rendering erheblich. In künftigen Versionen planen die Entwickler, BigPipe auch für anonyme Site-Besucher zu aktivieren.

PHP Fibers ermöglichen paralleles Entity Loading

Drupal 11.3.0 nutzt PHP Fibers, eine Funktion seit PHP 8.1, für optimiertes Entity Loading. Die kooperative Multitasking-Technik erlaubt das Kombinieren von Datenbank- und Cache-Queries, ohne Prozesse zu blockieren. Zusätzlich wurden die Hook- und Field-Discovery-Prozesse überarbeitet, was Datenbank- und Cache-I/O sowie Speicherverbrauch bei „kalten“ Caches reduziert.

Für MySQL- und MariaDB-Nutzer steht ein experimenteller MySQLi-Driver bereit. Dieser nutzt die mysqli-Extension statt PDO und ermöglicht parallele statt sequenzielle Queries. Asynchrone Unterstützung ist geplant. Der Treiber ist noch nicht in der regulären Benutzeroberfläche zu finden und erhält noch keinen vollständigen Support.

Navigation-Modul wird stabil

Das Navigation-Modul gilt jetzt als stabil und bietet eine modernere Alternative zur alten Toolbar. Es eignet sich besonders für Seiten mit komplexer Admin-Struktur, ist aber noch nicht als Standard aktiviert. Die Entwickler empfehlen es für alle Installationen.

Der CKEditor unterstützt nativ On-Site-Links via Autocomplete und Dropdown für Entity References. Neue Optionen für Aufzählungszeichen und Nummerierungen erleichtern die Content-Erstellung. Eine dedizierte Berechtigung „Administer node published status“ trennt die Rechte zum Veröffentlichen von der allgemeinen Node-Administration.

OOP-Hooks für Themes und Content-Export

Themes können wie Module das #[Hook()]-Attribut nutzen. Die Implementierungen liegen in src/Hook/ und werden über Namespaces im Container registriert. Dies ermöglicht saubereren, strukturierten Code.

Ein neuer CLI-Befehl php core/scripts/drupal content:export ENTITY_TYPE_ID ENTITY_ID exportiert Entities samt Abhängigkeiten wie Bilder oder Taxonomie-Terms. Die Funktion nutzt dasselbe Format wie das Modul Default Content.

Drupal 11.3.0 unterstützt vollständig PHP 8.5, das im November 2025 erschien. Die Core-Tests laufen auf der neuen PHP-Version, die als Mindestanforderung für Drupal 12 im Jahr 2026 dient. Drupal 10 erhält noch bis Dezember 2026 Security-Support. Der visuelle Page Builder Drupal Canvas, Anfang Dezember veröffentlicht, ergänzt die neuen Performance-Features um komfortablere Site-Building-Optionen.

(fo)