Fortinet hat im Laufe des zweiten Dienstag des Monats – gemeinhin auch als „Patch Tuesday“ oder kurz Patchday etwa aus der Microsoft-Welt bekannt – elf Mitteilungen zu Sicherheitslücken in diversen Produkten veröffentlicht. Davon gelten zwei als kritische Schwachstellen und eine als hochriskant.

Im FortiAuthenticator klafft eine kritische Schwachstelle aufgrund von unzureichenden Zugriffskontrollen. Sie ermöglicht Angreifern ohne vorherige Authentifizierung, mit manipulierten Anfragen unbefugt Code oder Befehle auszuführen (CVE-2026-44277, CVSS 9.1, Risiko „kritisch“). FortiAuthenticator 6.5.7, 6.6.9 und 8.0.3 sowie neuere Fassungen korrigieren das. Mit manipulierten HTTP-Anfragen können bösartige Akteure ohne vorherige Anmeldung unbefugt Code oder Befehle in FortiSandbox, FortiSandbox Cloud und FortiSandbox PaaS Web UI aufgrund einer fehlenden Autorisierung ausführen (CVE-2026-26083, CVSS 9.1, Risiko „kritisch“).

Im FortiOS CAPWAP-Daemon können Angreifer, die Kontrolle über authentifizierte FortiAP FortiExtender oder FortiSwitches haben, Ausführungsrechte auf den FortiGate-Geräten erlangen. Das geht auf mögliche Schreibzugriffe außerhalb vorgesehener Speichergrenzen zurück. Wie die sich provozieren lassen, erklärt Fortinet jedoch nicht (CVE-2025-53844, CVSS 8.3, Risiko „hoch“).

Fortinet: Mittelschwere Sicherheitslücken

Fortinet warnt zudem vor weiteren Schwachstellen. Nach Schweregrad sortiert handelt es sich um folgende:

• OS command injection in CLI – FortiAP/FortiAP-W2 (CVE-2025-53870, CVSS 6.5, Risiko „mittel“)
• SQL command injection in administrative portal – FortiMail (CVE-2025-53681, CVSS 6.3, Risiko „mittel“)
• Command injection in CLI – FortiAP/FortiAP-W2 (CVE-2025-53680, CVSS 6.1, Risiko „mittel“)
• DoS due to unsafe function in signal handler – FortiAnalyzer, FortiManager (CVE-2025-67604, CVSS 5.2, Risiko „mittel“)
• User controlled SQL commands – FortiNDR (CVE-2026-25088, CVSS 5.1, Risiko „mittel“)
• OTP Disclosure via Exported TokenContentProvider – FortiTokenAndroid (CVE-2026-44279, CVSS 5.0, Risiko „mittel“)
• Arbitrary log file read in administrative interface – FortiDeceptor (CVE-2026-25690, CVSS 4.0, Risiko „mittel“)
• Hardcoded Encryption Key Used for VPN Saved Passwords – FortiClientWindows (CVE-2026-44278, CVSS 2.1, Risiko „niedrig“)

IT-Verantwortliche sollten prüfen, ob sie verwundbare Fortinet-Appliances einsetzen und die verfügbaren Aktualisierungen zeitnah anwenden.

Zum „Patchday“ im April hatte Fortinet noch 18 Sicherheitslücken behandelt. Auch die haben die Entwickler zum Teil als kritisches Risiko eingestuft. Da Fortinet direkt mit Netzwerken in Verbindung steht, sind Schwachstellen in der Software ein begehrtes Ziel von Kriminellen. Anfang April haben bösartige Akteure etwa eine kritische Sicherheitslücke im FortiClient EMS attackiert.

(dmk)

Google hat neue Anti-Diebstahlfunktionen für Android vorgestellt. Einige erfordern das neue Android 17, andere funktionieren auch mit älteren Versionen.

Biometrie als zweiter Faktor

Um Langfingern den Gerätediebstahl möglichst unattraktiv zu machen, hat Google hier nachgebessert: Denn ein verlorenes Gerät kostet etwa nicht nur den Wert des Telefons, sondern auch finanzielle Verluste, die durch Betrug entstehen können.

Die neuen Vorkehrungen bauen auf den im Januar 2026 eingeführten Funktionen auf – darunter zusätzliche Einstellungen für die Sperre bei fehlgeschlagener Authentifizierung und einem erweiterten Schutz durch die Identitätsprüfung. Das bedeutet, dass Diebe, die möglicherweise an das Gerätepasswort oder an die PIN gelangt sind, die Geräteortung nicht deaktivieren oder erneut auf das Telefon zugreifen können, wenn Besitzerinnen und Besitzer es als verloren markieren.

Keine neuen WLAN- und Bluetooth-Verbindungen

Laut Google aktiviert das Auslösen von „Als verloren markieren“ ferner zusätzliche Schutzmaßnahmen wie das Ausblenden der Schnelleinstellungen und das Deaktivieren neuer WLAN- und Bluetooth-Verbindungen. Überdies erzwingt das Gerät eine biometrische Authentifizierung zum Entsperren des Geräts – heißt: nur die Eigentümerin oder der Eigentümer des Geräts kann das Gerät etwa mit dem Fingerabdruck entriegeln.

Überdies erklärt Google, dass die neuen Diebstahlschutzfunktionen unter Android 17 standardmäßig aktiviert werden. Dies habe man nach einem erfolgreichen Pilotprojekt in Brasilien entschieden. Zudem erweitert Google in Märkten wie Argentinien, Chile, Kolumbien, Mexiko und Großbritannien diese Schutzmaßnahmen auf alle Geräte mit Android 10 oder höher. Funktionen wie „Remote-Sperre“ und „Diebstahlschutz-Sperre“ seien automatisch aktiviert.

Mit Android 17 will Google Dieben außerdem den Zugriff auf Nutzerdaten erschweren. Auf unterstützten Geräten werde die Anzahl der Versuche, die PIN oder das Passwort zu erraten, deutlich reduziert und zudem längere Wartezeiten zwischen fehlgeschlagenen Versuchen eingeführt. Dies soll verhindern, dass Angreifer sich durch schnelles Ausprobieren Zugang zum gestohlenen Smartphone verschaffen können. Außerdem hat Google Verbesserungen daran vorgenommen, wie der Sperrbildschirm Informationen nach fehlgeschlagenen Versuchen anzeigt, erklärt das Unternehmen.

Um eine mögliche Rückgabe von Geräten zu vereinfachen, könne die IMEI eines Geräts nun über den Sperrbildschirm auf Geräten mit Android 12 oder neuer abgerufen werden. Laut Google können Strafverfolgungsbehörden, Gerätehersteller oder Mobilfunkbetreiber diese eindeutige Gerätekennung nutzen, um die Eigentumsverhältnisse einfach zu überprüfen und das Gerät den rechtmäßigen Besitzern zurückzugeben. Diese Funktion könne jederzeit in den Geräteeinstellungen deaktiviert werden.

(afl)

Angreifer können an mehreren Sicherheitslücken unter anderem in Adobe After Effects, Connect und Premiere Pro ansetzen. Im schlimmsten Fall kann es zur Ausführung von Schadcode kommen. Sicherheitspatches sind verfügbar. In den Warnmeldungen des Softwareherstellers gibt es zurzeit keine Hinweise auf Angriffe.

Mehrere Ansatzpunkte für Angreifer

Am gefährlichsten ist der Einstufung zufolge eine Schadcode-Lücke (CVE-2026-34659 „kritisch“) in Connect. Darüber können Angreifer Schadcode ausführen. Damit das klappt, muss der Beschreibung der Schwachstelle zufolge ein Opfer auf einen von einem Angreifer präparierten Link klicken. Davon sind macOS und Windows betroffen. Die Entwickler versichern, das Sicherheitsproblem in Connect Desktop Application 2026.01.39 (macOS) und 2026.3.125 (Windows) gelöst zu haben.

Die höchste Patchpriorität gilt für 15 Lücken in Adobe Commerce. Hier können Angreifer etwa Sicherheitsmechanismen umgehen oder DoS-Zustände und somit Abstürze auslösen. After Effects ist über vier Schadcode-Lücken angreifbar. Auch die verbleibenden Anwendungen sind primär für Schadcodeangriffe anfällig. Dementsprechend sollten Admins die Sicherheitsupdates zeitnah installieren, um möglichen Attacken vorzubeugen.

Sicherheitsupdates jetzt installieren

Weil die Auflistung der reparierten Ausgaben der Adobe-Anwendungen den Rahmen dieser Meldung sprengt, sollten Admins die unterhalb dieses Beitrags verlinkten Warnmeldungen von Adobe studieren. Dort finden sich neben den bedrohten und abgesicherten Versionen auch Informationen zu den geschlossenen Softwareschwachstellen.

Liste nach Patchpriorität absteigend sortiert:

(des)