Um die Echtheit von Nutzern zu verifizieren, führt Google eine neue Option ein, die auf der Erkennung von Handgesten basiert. Inzwischen soll reCaptcha nicht mehr nur Bots und echte Nutzerinnen und Nutzer trennen, sondern etwa auch bei der Betrugsvermeidung helfen.

Die Bestätigung per Handgeste muss erst aktiviert werden, erklärt Google in der zugehörigen Dokumentation. Die Grundlage bildet ein Machine-Learning-Modell, sprich, eine künstliche Intelligenz. Die kann Referenzpunkte von Händen auf Bildern erkennen und vermessen, laut Google geht es unter anderem um 21 Koordinaten der Fingerknöchel. Für die Prüfung fordert reCaptcha Nutzer auf, einfache Gesten vor der Kamera zu vollführen. Die Handgestenerkennung soll damit menschliche Bewegungen erkennen und insbesondere KI-Bots abwehren, die etwa die klassischen Bilderrätsel immer besser lösen können.

Rechteanforderungen von Webbrowsern

Dazu müssen Webbrowser natürlich neue Rechte anfordern. Der Mechanismus erfordert zwingend Zugriff auf die Kamera. Diese Kameraberechtigungen lassen sich in den Browsereinstellungen verwalten. Google versichert, die Videos von Handgesten ausschließlich für Sicherheitsprüfungen zu nutzen und sie nicht an Dritte weiterzugeben. Zudem sollen die Videos niemals mit der Identität eines Nutzers verknüpft werden. Google sichert zu, die Videos nach der Überprüfung zu löschen. Ton werde dabei nicht aufgezeichnet. Etwas widersprüchlich wirkt die Aussage, dass nach der Challenge Bilder und Videos automatisch gelöscht würden, jedoch von Google erhobene Daten gemäß der Datenschutzerklärung des Unternehmens verwendet und gespeichert werden.

Um die Barrierefreiheit zu gewährleisten, bietet reCaptcha weitere visuelle und Audio-Challenges an. Außerdem will der Hersteller weitere barrierefreie und sichere Alternativen entwickeln.

Zuletzt hatte Google Ende April eine Funktion eingeführt, um KI-Bots von Menschen zu unterscheiden. Der Prüfmechanismus mittels QR-Code soll etwa vor Betrug schützen, indem Nutzerinnen und Nutzer etwa mit dem Smartphone einen QR-Code einscannen, um die Anwesenheit nachzuweisen.

(dmk)

Die Open-Source-SSH-Bibliothek libssh2 ist verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen, um Systeme zu attackieren. Im schlimmsten Fall kann Schadcode Computer kompromittieren. Der Patchstatus ist den derzeit verfügbaren Informationen zufolge undurchsichtig. Zum Zeitpunkt dieser Meldung gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Unternehmen setzen die Bibliothek an empfindlichen Stellen im Netzwerk ein, um etwa Router und IoT-Feräte fernzusteuern und Server zu managen. Demzufolge könnten erfolgreiche Attacken weitreichende Folgen haben.

Warten auf reparierte Ausgabe

Beide Lücken (CVE-2026-55200 „kritisch“, CVE-2026-55199 „hoch“) sind auf GitHub dokumentiert. Angreifer können über präparierte SSH-Pakete Speicherfehler auslösen und Schadcode ausführen. Außerdem sind DoS-Attacken vorstellbar.

Davon sind den Entwicklern zufolge alle libssh2-Versionen bis einschließlich 1.11.1 bedroht. Das Problem ist, dass beide Sicherheitspatches derzeit nur in Form von GitHub-Commits (7acf3df, 1762685) existieren. Offensichtlich sind die Fixes bereits im Master-Branch verfügbar, aber eine neue Version steht noch aus. Stichproben bei Linux-Distributoren haben Folgendes ergeben: Laut dem Debian Security Tracker wird die reparierte Ausgabe 1.11.1-3 derzeit getestet. In Kali Linux ist diese Version wohl schon seit Mai dieses Jahres enthalten.

(des)

Derzeit haben es Angreifer auf WordPress-Websites mit Gravity-SMTP-Plug-in abgesehen und attackieren Instanzen. Ein Sicherheitspatch ist bereits seit Ende dieses Jahres verfügbar, aber offensichtlich noch nicht flächendeckend installiert.

Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Ihnen zufolge ist die Lücke (CVE-2026-4020 „mittel“) seit März dieses Jahres bekannt. Seitdem gibt es auch die reparierte Ausgabe 2.1.5. Alle vorigen Versionen sind verwundbar.

Die Forscher geben an, dass das Plug-in derzeit rund 100.000 aktive Installationen aufweist.

Unbefugte Zugriffe

Ansatzpunkt für Angreifer ist ein nicht ausreichend sicher konfigurierter REST-API-Endpoint. So können sie ohne Authentifizierung darauf zugreifen, um über einen HTTP-GET-Request detaillierte Systemkonfigurationen abzurufen und diese Informationen für weiterführende Attacken zu nutzen.⁣

Die Sicherheitsforscher geben an, bereits 17 Millionen Angriffsversuche dokumentiert zu haben. Admins sollten dementsprechend zügig handeln und ihre Instanzen absichern. In ihrem Beitrag führen sie detaillierte Informationen zur Lücke auf. Zusätzlich finden Admins dort konkrete Hinweise (Indicators of Compromise, IoC), wie IP-Adressen, an denen sie bereits attackierte Systeme erkennen können.

(des)