Die Entwickler von Dell haben in Avamar und NetWorker massenhaft Schwachstellen in Komponenten wie Apache Tomcat und Spring Security geschlossen, die die Backuplösungen nutzen. Die Server-Fernverwaltung iDRAC bekommt ebenfalls ein Sicherheitsupdate.

Verwundbare Backuplösungen

In drei Warnmeldungen listet Dell die nun geschlossenen Sicherheitslücken in Komponenten von Drittanbietern auf, die Avamar und NetWorker betreffen.

Darunter fallen Komponenten wie Apache HTTP Server, Expat, OpenSSL und Vim. Der Großteil der geschlossenen Lücken stammt aus dem Jahr 2025. Darunter sind auch „kritische“ Schwachstellen (etwa Samba CVE-2025-10230), über die Schadcode auf Systeme gelangen kann. Es wurden aber auch Lücken geschlossen, die schon über zehn Jahre alt sind (zum Beispiel Apache HttpClient CVE-2015-5262 „mittel“).

Weitere Gefahr

Server-Admins sollten iDRAC-Service-Module für Linux und Windows auf den aktuellen Stand bringen. Geschieht das nicht, können sich Angreifer mit niedrigen Nutzerrechten aufgrund von Fehlern bei der Zugriffskontrolle höhere Nutzerrechte verschaffen (CVE-2026-23856). In einer Warnmeldung versichern die Entwickler, das Sicherheitsproblem in der Ausgabe 5.4.1.1 gelöst zu haben. Alle vorigen Versionen sollen verwundbar sein.

(des)

Google hat Chrome 145 für Windows, macOS und Linux veröffentlicht. Die Version umfasst einige kleinere neue Features und schließt elf Sicherheitslücken, darunter drei mit hoher Priorität. Vor allem aber bringt die neue Version des Browsers den Support des Bildformats JPEG XL zurück, dem sich Google offiziell lange verweigert hatte.

JPEG XL: Von der Entfernung zur Rückkehr

Google hatte die Unterstützung für das Format Anfang 2023 in Chrome 110 entfernt – mit der Begründung, es gebe zu wenig Interesse im Ökosystem und unzureichende Vorteile gegenüber bestehenden Formaten. Die Entscheidung stieß auf massive Kritik: Über 1000 Upvotes im Chromium-Bug-Tracker protestierten gegen die Entfernung, die Free Software Foundation kritisierte die Entscheidung als Einengung von Nutzer-Wahlmöglichkeiten. Jon Sneyers, Mitentwickler von JPEG XL, vermutete einen internen Konflikt bei Google zwischen JPEG-XL-Befürwortern und Vertretern der konkurrierenden Google-Formate AVIF und WebP.

JPEG XL wurde als moderner Standard für Bildkompression entwickelt und basiert auf Googles PIK und Cloudinarys FUIF. Der Standard wurde im Dezember 2020 finalisiert und im Oktober 2021 als internationaler Standard verabschiedet. Das Format bietet höhere Kompressionsraten als JPEG, unterstützt verlustfreie Kompression und ist offen sowie lizenzgebührenfrei. Experimentell war JPEG XL bereits ab Chrome 91 mit einem Feature Flag verfügbar.

Die Neubewertung begann im November 2025, als das Chromium-Team die Wiederaufnahme ankündigte. Ausschlaggebend waren mehrere Faktoren: Apple hatte den JPEG-XL-Support in Safari implementiert, Mozilla seine neutrale Haltung aufgegeben und die PDF-Association das Format im Oktober 2025 als empfohlen in PDF-Spezifikationen aufgenommen. Technisch plant Chromium die Integration von „jxl-rs“, einem Rust-basierten JPEG-XL-Decoder. Google nutzt das Format bereits praktisch: Die Google Cloud Platform DICOM API verwendet JPEG XL für eine Reduktion der Dateigröße um 20 Prozent.

Neue Features in Chrome 145

Chrome 145 bringt außerdem diverse neue Funktionen. Column wrapping für Multicol ermöglicht vertikales Spaltenlayout und 2D-Spaltenlayout. Device Bound Session Credentials schützen Nutzer-Sessions besser. Die neue Origin API vereinfacht die Arbeit mit Origins. Bei CSS unterstützt der Browser nun das text-justify-Property für bessere Kontrolle über Textausrichtung bei Blocksatz sowie prozentuale Werte für letter-spacing und word-spacing für responsive Typografie.

Weitere Neuerungen umfassen eine optimierte Schattenberechnung bei hohen border-radius-Werten, neue Event-Handler wie onanimationcancel für CSS Animations und die focusVisible-Option zur Kontrolle über Fokusring-Anzeige. Das Customizable-select-Element verbessert das Listbox-Rendering, während Monochrome-Emoji im Forced-Colors-Modus die Darstellung verbessern.

Behobene Sicherheitslücken

Besonders kritisch sind drei als „High Severity“ eingestufte Schwachstellen. CVE-2026-2313 betrifft einen Use-after-free-Fehler in CSS, CVE-2026-2314 beschreibt einen Heap-Buffer-Overflow in den Codecs und CVE-2026-2315 eine fehlerhafte Implementierung in WebGPU. Alle drei Lücken lassen sich durch manipulierte HTML-Seiten ausnutzen und erreichen einen CVSS-Score von 8.8. Für die Meldung von CVE-2026-2313 zahlte Google 8000 US-Dollar an die Forscher Han Zheng, Wenhao Fang und Qinying Wang.

Die mittelschweren Sicherheitslücken umfassen unter anderem CVE-2026-2316, die UI-Spoofing in Frames ermöglicht, sowie CVE-2026-2317, die ein Cross-Origin-Datenleck in der Animation-Implementierung erlaubt. Eine Race-Condition in den DevTools (CVE-2026-2319) könnte Object-Corruption via bösartiger Erweiterungen ermöglichen. Insgesamt zahlte Google für die gemeldeten Schwachstellen Prämien zwischen 500 und 8000 US-Dollar.

Alle Informationen zur neuen Version 145 finden sich in den Release-Notes. Anwender sollten Chrome zeitnah aktualisieren, da die Sicherheitslücken remote über manipulierte Webseiten ausnutzbar sind. Chrome aktualisiert sich in der Regel automatisch, Nutzer können die Aktualisierung aber über „Einstellungen/Über Google Chrome“ manuell anstoßen.

(fo)

Der Chatdienst WhatsApp wirft der russischen Regierung den Versuch einer Komplett-Blockade vor. Über 100 Millionen Nutzer von sicherer und privater Kommunikation auszuschließen, werde zu weniger Sicherheit für die Menschen in Russland führen, kritisierte eine Sprecherin der zum Facebook-Konzern Meta gehörenden App. Man werde alles Mögliche unternehmen, damit die Nutzer weiterhin verbunden blieben.

Die russische Regierung schränkt bereits seit einiger Zeit nach und nach die Funktionen internationaler Messenger-Apps ein. Bei WhatsApp etwa waren Anrufe bereits nur noch über VPN-Verbindungen (Virtual Private Network) möglich. Eingeschränkt wurden auch Telegram und der Apple-Dienst iMessage.

WhatsApp hat eine Ende-zu-Ende-Verschlüsselung, was bedeutet, dass nur die beteiligten Nutzer Beiträge im Klartext sehen können – aber nicht WhatsApp als Betreiber.

„Staatliche Überwachungs-App“

Die russischen Behörden hatten seit Beginn des Angriffskrieges in der Ukraine die Kontrolle und Zensur im Internet noch einmal drastisch verschärft. Während ausländische Dienste eingeschränkt werden, wurde in Russland der einheimische Messenger Max auf den Markt gebracht. WhatsApp sprach in der Stellungnahme von einer „staatlichen Überwachungs-App“, in die die russische Regierung die Nutzer drängen wolle.

(olb)