„Passwort“ Folge 57: Fail-News mit KI-Fail, copy.fail und S/MIME-Fail

Die Linuxwelt ist in Aufruhr: Da hat jemand eine Sicherheitslücke im Kernel gefunden, die zuverlässig zur Ausweitung der Nutzerrechte auf Root-Ebene führt. Und ihr einen Namen gegeben. Und eine Website! Das zementiert die Gravitas von „copy.fail“, also müssen Christopher und Sylvester diesem Thema den gebotenen Raum – mit der gebotenen Ironie – im Podcast einräumen. Doch hinter copy.fail steckt eine ganze Kategorie von Sicherheitslücken, derer es seit Aufnahme der Folge mehrere weitere gab, nämlich Dirty Frag, Copy Fail 2 und den Abschluss der Trilogie, Copy Fail 3.

Irrungen und Wirrungen von KI bis CA

Auch die Unzulänglichkeiten künstlicher Intelligenz finden im Passwort-Podcast von heise security wieder statt: In Form der Mär um PocketOS, das weder mit Hosentaschen noch mit einem Betriebssystem viel gemein hat. Der Hersteller der SaaS-Software für Autovermietungen hatte allzu stark auf agentische Entwicklung und Administration gesetzt und der künstliche Kollege Claude hatte Produktions-Datenbank nebst Backup gelöscht.

In der PKI-Ecke geht es erneut um die deutsche Certificate Authority D-Trust, die Administratoren einen kurzfristigen Zertifikatsrückruf ins Osternest hatte legen müssen. Im Gefolge dieser Aktion war den Auditoren bei der Bundesdruckerei-Tochter aufgefallen, dass auch die automatische Überprüfung von S/MIME-Zertifikaten für verschlüsselte E-Mail nicht den Anforderungen des gestrengen CA/Browser-Forums genügte. Und so kam es, wie es kommen musste: Viele S/MIME-Zertifikate wurden kurzfristig zurückgezogen und neu ausgestellt, ein weiteres Ungemach für D-Trust-Kunden.

Die neue Folge von „Passwort – der Podcast von heise security“ steht seit Mittwoch auf den üblichen Podcast-Plattformen bereit.

(cku)