Connect with us

Datenschutz & Sicherheit

RoguePlanet-Zero-Day: Microsoft legt neuen Windows-Patch nach


Microsoft hat am gestrigen Mittwoch seine Windows Malware Protection Engine aktualisiert, um sie besser gegen mögliche Angriffe auf die schon seit Mitte Juni bekannte „RoguePlanet“-Schwachstelle (CVE-2026-50656, CVSS-Base-Score 7.8) abzusichern. Im Zuge einer erfolgreichen Attacke könnten sich Angreifer über die Schwachstelle Systemrechte verschaffen.

Weiterlesen nach der Anzeige

CVE-2026-50656 betrifft Windows 10 und 11 und wurde schon am 10. Juni im Zuge des Definitionsupdates 1.453.20.0 erstmals von Microsoft ins Visier genommen. Unseren damaligen Experimenten zufolge jedoch nur rudimentär: Mit einer trivialen Änderung im Quelltext des Proof-of-Concept-Exploits hätte man den alten Patch in kürzester Zeit umgehen und erneut eine Shell mit Systemrechten ausführen können.

Die Malware Protection Engine ist als zentrale Virenschutz-Komponente Bestandteil des Windows Defender und verwandter Schutzlösungen in Microsoft-Produkten. Per Default passiert die Engine-Aktualisierung automatisch, sodass die Nutzer nichts tun müssen. Bei abweichenden Konfigurationen ist es ratsam, einen Blick auf den aktualisierten Sicherheitshinweis zu CVE-2026-50656 zu werfen.

Engine-Versionen ab einschließlich 1.1.26060.3008 sind laut MS gegen RoguePlanet abgesichert. Überprüfen kann man die Modulversion in Windows 10 und 11, indem man das Sicherheitscenter öffnet, dort in die Einstellungen wechselt und auf „Info“ klickt.



Unter „Modulversion“ gibt der Infobereich die aktuelle Version der Malware Protection Engine aus.

(Bild: Screenshot)

RoguePlanet ist eine von einer ganzen Reihe Windows betreffender Zero-Day-Schwachstellen, die ein Sicherheitsforscher mit dem Pseudonym „Nightmare Eclipse“ in den vergangenen drei Monaten nach und nach offenlegte.

Weiterlesen nach der Anzeige

Auf BlueHammer (CVE-2026-33825) im April waren RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585) sowie GreenPlasma und MiniPlasma (beide zurückgehend auf CVE-2020-17103) gefolgt. In mehreren Fällen waren die ausführlich auf GitHub beschriebenen Schwachstellen für Angriffe ausgenutzt worden.

Einen Coordinated Vulnerability Disclosure (CVD)-Prozess, im Zuge dessen Hersteller verwundbarer Produkte üblicherweise vorab über Schwachstellen informiert werden, gab es laut Microsoft nicht. Der Konzern drohte deshalb mit Klagen und der Polizei. „Nightmare Eclipse“ stellte die Vorwürfe in Abrede.

Insbesondere ein MSRC-Blogpost mit dem Titel „A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure“, in dem der Konzern recht emotionsgeladen seine Empörung zum Ausdruck brachte, löste teils heftige Diskussionen in der Security-Community aus. Unter anderem schrieb Microsoft darin: „Unsere Abteilung für digitale Kriminalität wird weiter Verfahren gegen [kriminelle] Akteure einleiten und gegen diejenigen, die ihre kriminellen Aktivitäten ermöglichen.“ Der letzte Halbsatz wurde vielfach als allgemeine Drohung gegen (öffentliche) Sicherheitsforschung gelesen.

Abzuwarten bleibt nun, ob ein Engine-Patch als eher oberflächliche Lösung langfristig gegen RoguePlanet und mögliche Varianten standhält. Und ob beziehungsweise in welcher Form Nightmare Eclipse demnächst weitere Schwachstellen-Funde nachschieben wird.

Wenigstens für den kommenden Patchday am 14. Juli will der Forscher laut Blogpost keine massenhafte Zero-Day-Veröffentlichung geplant haben. Inwieweit man dem Glauben schenken kann, steht auf einem anderen Blatt.


(ovw)



Source link

Datenschutz & Sicherheit

EU-Parlament: Freiwillige Chatkontrolle geht mit Verfahrenstrick durch


Online-Dienste wie Google oder Meta dürfen wieder freiwillig unverschlüsselte Inhalte ihrer Nutzer:innen durchleuchten, um darin nach bekannten oder unbekannten Missbrauchsdarstellungen von Kindern zu suchen. In einer chaotischen Abstimmung gab heute das EU-Parlament indirekt grünes Licht für die Verlängerung einer Ausnahmeregelung, die das anlasslose Scannen vertraulicher Inhalte erlaubt. Verschlüsselte Inhalte, etwa Nachrichten über Messenger wie Signal, Threema oder WhatsApp, sind davon jedoch ausdrücklich ausgenommen.

Ausgegangen ist die Abstimmung denkbar knapp: Zwar hat mit 314 Stimmen eine relative Mehrheit der Abgeordneten den als „Chatkontrolle 1.0“ bekannten Vorschlag des Rates abgelehnt. Allerdings wäre eine absolute Mehrheit von 360 Stimmen notwendig gewesen, um den Gesetzestext endgültig zu begraben. Auch mehrere Änderungsanträge des EU-Parlaments sind bei der Abstimmung durchgefallen. Befürwortet wurde hingegen ein Antrag der Grünen-Fraktion, verschlüsselte Inhalte nicht in den Geltungsbereich des Gesetzes aufzunehmen.

Der Gesetzestext wandert nun wieder zurück an den Rat, der ihn binnen dreier Monate unverändert annehmen muss. Sollte dies scheitern, wird der Vermittlungsausschuss angerufen, in dem sich der Rat mit dem Parlament auf einen endgültigen Text einigen müsste.

Scharfe Kritik am Prozess

Kritiker:innen der anlasslosen Überwachung, etwa Konstantin Macher von der Digitalen Gesellschaft, sprechen von einem „schlechten Tag für die europäische Demokratie“. Nur mit einem „miesen Verfahrenstrick vor der Sommerpause und gegen eine Mehrheit der Abgeordneten wurde heute die klare Position des Parlaments ausgehebelt“, sagt Macher gegenüber netzpolitik.org. Elina Eickstädt vom Chaos Computer Club bewertet dies als einen „herbe[n] Rückschlag im Kampf gegen anlasslose Massenüberwachung“.

Schwarz-Rot will die Informationsfreiheit beschneiden.

Wir kämpfen für Transparenz. Mit deiner Unterstützung.

Wenig Freude ist auch aus der Grünen-Fraktion zu vernehmen. „Das ist ein schwarzer Tag für Bürgerrechte und den Kinderschutz im Netz“, sagt Erik Marquardt, der im federführenden Ausschuss für bürgerliche Freiheiten sitzt. „Unter dem Vorwand von Kinderschutz wird Zuckerberg und Co. jetzt weiter die Möglichkeit eingeräumt, private Kommunikation in Europa auf ihren Plattformen zu überwachen“, so Marquardt.

Grundsätzlich schützt die ePrivacy-Richtlinie die Vertraulichkeit privater Kommunikation, sie darf nicht ohne Weiteres überwacht werden. Eine vorübergehende Ausnahme hatte es jedoch Online-Anbietern möglich gemacht, die Inhalte ihrer Nutzer:innen freiwillig zu scannen, um dabei potenziell rechtswidriges Material aufzuspüren.

Ausnahmeregelung lief aus

Die seit dem Jahr 2021 geltende Ausnahmeregelung war im April ausgelaufen. Zuvor hatten es die EU-Institutionen nicht geschafft, sich auf eine gemeinsame Linie zu einigen. Während sich die EU-Kommission und die EU-Länder im Rat für eine Verlängerung einsetzten, kam es im EU-Parlament zu Spannungen: Letztlich stimmten sogar viele Christdemokraten im Parlament gegen den Vorschlag, obwohl die Fraktion als sichere Bank für eine Verlängerung galt.

Den für erledigt gehaltenen Ansatz holte schließlich Parlamentspräsidentin Roberta Metsola von der Europäischen Volkspartei aus der Versenkung. In einem außergewöhnlichen Manöver brachte sie Ende Juni den EU-Rat dazu, seinen Vorschlag erneut an das Parlament zu senden. Über diesen Vorschlag sowie über von EU-Abgeordneten eingebrachte Änderungsvorschläge stimmte heute das Parlament in zweiter und finaler Lesung ab.

Indes schöpft etwa Simeon de Brouwer von der europäischen Digital-NGO EDRi (European Digital Rights) Hoffnung. So hätten mehrere Änderungsanträge nur knapp die absolute Mehrheit verpasst, darunter Vorschläge, das Scannen von unbekanntem Material auszunehmen oder sich bei der Überwachung auf verdächtige Personen zu beschränken.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

„Selbst wenn der Gesetzestext heute verabschiedet wurde, unterstreichen die Abstimmungsergebnisse, dass eine Mehrheit des Parlaments Massenüberwachung nach wie vor ablehnt“, sagt de Brouwer zu netzpolitik.org. Beide Seiten hätten heute gewonnen: Zwar sei einerseits die vorübergehende Ausnahmeregelung erneut verlängert worden, obwohl eine Mehrheit der Abgeordneten dagegen stimmte.

Andererseits sende diese Mehrheit jedoch ein deutliches Signal gegen Massenüberwachung an die Verhandlungsführer:innen, die derzeit parallel um die „unfreiwillige“ Chatkontrolle 2.0 feilschen. In diesem Verfahren würden wieder die üblichen Mehrheitsregeln gelten, so de Brouwer: Entsprechend sei das Mandat des Parlaments dadurch nicht untergraben, sondern gestärkt worden, hofft de Brouwer.

Verhandlungen zu Chatkontrolle 2.0 in der Zielgeraden

Um diesen langfristigen Ansatz ringt die EU seit geraumer Zeit. Neben einer dauerhaften Regelung für das Scannen unverschlüsselter Inhalte sollte der Vorschlag der EU-Kommission auch dafür sorgen, dass Material vor seiner Verschlüsselung durchleuchtet und gegebenenfalls an Behörden gemeldet wird – eine Technik, die als Client-Side-Scanning bekannt ist. Das Vorhaben löste großen Widerstand aus – ein „beispiellos breites Spektrum“ von Interessengruppen wehrt sich gegen die geplante Chatkontrolle.

Die Verhandlungen stecken seit Jahren fest, hauptsächlich weil das Parlament die massenweise und anlasslose Überwachung vertraulicher Inhalte ablehnt. Zuletzt zeigten sich die EU-Länder offen für einen Kompromiss, der für nicht-öffentliche Inhalte wie Cloud-Speicher und Kommunikation über Messenger von der verpflichtenden Chatkontrolle ausnimmt.



Source link

Weiterlesen

Datenschutz & Sicherheit

Chrome-Browser & ChromeOS LTS : Updates schließen teils kritische Lücken


Für mehrere Chrome-Produkte von Google stehen schützende Aktualisierungen bereit. Den Browser sichert ein Stable Channel Update auf 150.0.7871.114/.115 (Windows und macOS) beziehungsweise 150.0.7871.114 (Linux) unter anderem gegen zwei als kritisch bewertete Lücken ab.

Weiterlesen nach der Anzeige

In der neuen Chrome for Android-Version 150 (150.0.7871.114) haben sich die Entwickler dieselben Sicherheitslücken vorgenommen wie in den Desktop-Releases. Außerdem gibt es eine frische Version von Chrome for iOS (Stable 150 / 150.0.7871.113) – ohne Security-Relevanz, aber mit Stabilitäts- und Performanceverbesserungen.

Die LTS (Long-Term-Support)-Fassung des Betriebssystems ChromeOS ist ebenfalls in einer neuen Stable-Version, nämlich LTS-144 (144.0.7559.257 / Platform-Version 16503.90.0), verfügbar. Auch hier haben die Entwickler mehrere teils kritische Sicherheitsaktualisierungen eingebaut.

Üblicherweise schreibt Google in den Versionsankündigungen, wenn das Unternehmen davon weiß, dass Sicherheitslücken bereits im Internet angegriffen werden. In den vorliegenden Versionsankündigungen finden sich jedoch keine derartigen Hinweise.

Nutzer des Chrome- sowie Chromium-basierter Browser schützen die aktuellen Fixes vor möglichen Angriffen auf CVE-2026-15112 und CVE-2026-15129 (jeweils „critical“). In beiden Fällen handelt es sich laut Googles knapper Beschreibung um sogenannte Use-after-free-Lücken. Bei solchen greift der Programmcode auf bereits freigegebene Ressourcen zu, deren Inhalte daher nicht definiert sind. Angreifer können das oftmals sogar zum Ausführen von Schadcode missbrauchen, etwa bei der Anzeige sorgsam präparierter Webseiten.

Weiterhin wurden 23 Lücken mit „High“- (unter anderem Use-after-free und unzureichende Validierungsmechanismen) sowie zwei mit „Medium“-Einstufung beseitigt.

Weiterlesen nach der Anzeige

Die LTS-Updates für ChromeOS verteilt Google, so heißt es in den zugehörigen Release Notes, nach und nach automatisch an „die meisten Chrome-OS-Geräte“.

Auch hier wurden unter anderem zwei kritische Use-after-free-Lücken beseitigt, die die Grafik-Komponente Aura (CVE-2026-8514) sowie die Web-Authentifizierungsfunktionen (CVE-2026-12443) betrafen.


(ovw)



Source link

Weiterlesen

Datenschutz & Sicherheit

Offizieller Signal-Chat taucht im Messenger auf iOS auf


Der offizielle Signal-Chat existiert seit Jahren und teilt Mitgliedern neue Features wie Gruppenmitgliedschaften oder das Fixieren von Nachrichten mit. Mit dem jüngsten Update der iOS-App taucht er bei vielen Nutzern neu auf. Womöglich als Reaktion auf Phishing-Angriffe gedacht, wirkt das plötzliche Auftauchen irritierend.

Weiterlesen nach der Anzeige

Im Umfeld der heise-Redaktion ist der Signal-Support-Chat mehrfach am frühen Morgen des 9. Juli aufgetaucht. Zumindest zeitlich hängt das mit einem Update der iOS-Version zusammen: In der am 8. Juli erschienenen Version 8.18.1 findet sich ein entsprechender Eintrag im Changelog. „Der offizielle Signal Versions-Chat ist eine neue Möglichkeit, sich über die neuesten Verbesserungen und Funktionen zu informieren“, heißt es dort.

Der Chat selber ist nicht neu – bereits seit Jahren existiert der Kanal in stummgeschalteter Form. Er informierte zuletzt über neue Funktionen wie fixierte Nachrichten, Umfragen und Nachrichten-Backups. Seine Legitimation ist unbestritten: Signal selbst erklärt auf einer Anfang Juli freigeschalteten Support-Seite anhand dieses Kanals die Unterschiede zu den Phishing-Kampagnen, die in den vergangenen Monaten prominente Politiker erwischten.

Die Willkommensbotschaft für neu hinzugefügte Geräte lautet im Volltext:

„Willkommen im offiziellen Chat zu neuen Signal-Versionen!

Wenn wir Verbesserungen vornehmen und neue Funktionen hinzufügen, informieren wir dich hier darüber. Dies ist der einzige offizielle Chat von Signal. Antworte niemals auf andere Chats, die vorgeben, von Signal zu sein. Übrigens, dieser Chat ist standardmäßig stummgeschaltet.

Wenn du diese Nachrichten lieber nicht erhalten möchtest, kannst du den Chat blockieren.“

Warum der Chat nun bei einigen Nutzern erscheint, ist unklar. Entsprechende Ankündigungen seitens Signal gab es vorher nicht – zumindest nicht im Blog des Messengers oder per Pressemitteilung. Signal reagierte zuletzt im April auf die anhaltenden Warnungen vor Phishing-Kampagnen und stellte klar: „Signal wurde nicht gehackt“. Wir haben bei der Pressestelle des Messengers nachgefragt und werden diese Meldung gegebenenfalls aktualisieren.


(cku)



Source link

Weiterlesen

Beliebt