Die vm2-Sandbox ist im Kontext von Node.js-Umgebungen erneut löchrig und Angreifer können Schadcode ins Hostsystem schieben und ausführen. Admins sollten das Sicherheitsupdate zeitnah installieren.

Sandbox repariert

Wie aus einer Warnmeldung auf GitHub hervorgeht, hat die „kritische“ Lücke bislang noch keine CVE-Nummer bekommen. Aufgrund eines Fehlers können sich Angreifer eines Ereignisses aus dem Hostsystem bemächtigen und innerhalb der Sandbox die Kontrolle über einen Host-Prozess erlangen. Auf diesem Weg kann Schadcode ins Hostsystem gelangen. Wie eine Attacke konkret ablaufen könnte, ist bislang nicht bekannt. Auf der genannten GitHub-Website ist Proof-of-Concept-Code verfügbar. Die Entwickler versichern, die Schwachstelle in vm2 3.11.3 geschlossen zu haben.

Erst kürzlich sorgte eine Sandbox-Lücke in Node.js 25 für Schlagzeilen.

Siehe auch:

• Node.js: Download schnell und sicher von heise.de

(des)

Mit dem Update auf FTL 6.6.2 schließt das Pi-hole-Projekt mehrere Sicherheitslücken in dem DNS-basierten Werbeblocker für Raspberry Pis. Sie betreffen den mitgelieferten DHCP- und DNS-Server dnsmasq.

In der Release-Ankündigung zu Pi-hole FTL 6.6.2 erörtern die Entwickler, dass sie darin die Sicherheitslücken schließen, die in dnsmasq 2.92 und 2.93 bekannt wurden und vor denen etwa CERT.org seit dem Montag dieser Woche warnt. Die Einordnung des Risikos der Lücken etwa gemäß CVSS liegt noch nicht vor. Allerdings dürften viele Projekte in Kürze Updates zum Stopfen der dnsmasq-Lücken bereitstellen, wenn sogar das namhafte CERT warnt. Neben Pi-hole listet das CERT etwa Arch Linux, NixOS, Red Hat, SUSE Linux, Ubuntu und Wind River als betroffen auf.

Die Lücken umfassen etwa einen Pufferüberlauf auf dem Heap, der sich mit manipulierten DNS-Antworten auslösen lässt (CVE-2026-2291), einen Pufferüberlauf im DHCP-Helper-Script (CVE-2026-4892), Lesezugriffe über vorgesehene Speichergrenzen des Heaps hinaus (CVE-2026-5172), eine Umgehung einer Subnetz-Prüfung im EDNS-Client (CVE-2026-4893) sowie zwei Denial-of-Service-Schwachstellen in DNSSEC (CVE-2026-4890, CVE-2026-4891). Das CERT schreibt dazu, dass dadurch etwa Code ausgeführt werden könnte, mit root-Rechten, oder Angreifer den Cache manipulieren können (Cache Poisoning/Redirection). Das dnsmasq-Projekt stopft die Sicherheitslecks in den Versionen 2.92rel2 sowie 2.93.

Pi-hole: Aktualisierte Software

Bis zu welchem Softwarestand Pi-hole für die dnsmasq-Schwachstellen anfällig ist, konkretisieren die Maintainer nicht. Als Lösung sollten Pi-hole-Nutzerinnen und -Nutzer unbedingt auf die aktuelle 6er-Fassung migrieren. Das Update verfrachtet der Aufruf von sudo pihole -up am Terminal des genutzten Raspberry Pi auf das System.

Zuletzt hatte das Pi-hole-Projekt Ende April ein Sicherheitsupdate veröffentlicht. Damit haben die Programmierer zwei hochriskante Sicherheitslücken geschlossen. Auch da waren die Komponenten Pi-hole Core und FTL betroffen. Die Lücken ermöglichten Angreifern die Rechteausweitung. Sie betreffen die mitgelieferten Skripte von Pi-hole vor den Versionen Core 6.4.2 und FTL 6.6.1. Angreifer mit Pi-hole-Rechten – etwa durch Missbrauchen einer bislang unbekannten Sicherheitslücke im Webinterface – konnten sich dadurch root-Rechte aneignen (CVE-2026-41489, CVSS 8.8, Risiko „hoch“). Auf GitHub steht eine detailliertere Analyse der Lücke bereit, der zugehörige CVE-Eintrag wurde erst jetzt in der Nacht zum Dienstag in der NVD-Datenbank des NIST veröffentlicht.

Siehe auch:

(dmk)

Android 17 ist im Grunde fertig, nun hat Google im Zuge der Android Show I/O Edition neben agentischen KI-Funktionen in Form von Gemini Intelligence weitere neue Funktionen angekündigt, die mit dem großen Update in das mobile Betriebssystem einziehen. Unter anderem landet AirDrop-Support über Quick-Share auf Geräten weiterer Hersteller, zudem kommen Kreative auf ihre Kosten.

AirDrop und WhatsApp-Support

Im November 2025 hatte Google überraschend die Möglichkeit angekündigt, Daten über Quick Share auf iPhones, Macs und iPads zu übertragen – auf der Apple-Seite kommt dafür der Systemdienst AirDrop zum Einsatz. Zuerst hatte Google die Funktion nur für seine Pixel-10-Serie freigeschaltet, mittlerweile bieten auch Samsung und Oppo AirDrop-Support für einige Geräte an.

Im Zuge der Android Show sagte Google, dass jetzt auch weitere Unternehmen ihre Geräte mit AirDrop-Unterstützung ausstatten werden. Laut dem Unternehmen sollen Geräte von OnePlus, Vivo, Xiaomi und Honor im Laufe dieses Jahres die Funktion erhalten.

Falls man kein kompatibles Gerät besitze, könne man ab heute Quick Share auf jedem Android-Smartphone nutzen, um einen QR-Code zu generieren, mit dem man Inhalte sofort über die Cloud mit iOS-Geräten teilen könne. Überdies plane Google Quick Share auch für weitere Apps verfügbar zu machen, darunter WhatsApp.

Einfacherer Datenumzug zwischen Android und iOS

Überdies wird mit Android 17 der Übertragungsprozess von iOS auf Android vereinfacht. Man habe mit Apple zusammengearbeitet, damit Nutzerdaten bequemer von einem auf ein anderes Ökosystem geschaufelt werden können. Angekündigt hatten die beiden Unternehmen den Datenumzug schon Ende 2025; die EU begrüßte dies. Apple hatte den leichten Datenumzug schon mit iOS 26.3 umgesetzt.

Laut Google lassen sich so Passwörter, Fotos, Nachrichten, Lieblings-Apps, Kontakte und sogar die Anordnung des Startbildschirms drahtlos vom iPhone auf ein neues Android-Gerät übertragen. Dieser neue drahtlose Prozess, der auch die Übertragung von eSIMs unterstützt, soll noch in diesem Jahr zunächst auf Samsung-Galaxy- und Google-Pixel-Geräten eingeführt werden.

Weniger Doomscrolling

Google versucht mit der neuen System-Funktion „Pause Point“ Nutzer dazu zu bringen, ihre App-Nutzung zu hinterfragen. Die optionale Funktion gibt Nutzerinnen und Nutzern beim Öffnen einer „ablenkenden App“ eine 10-sekündige Atempause, in der sie sich fragen können: „Warum bin ich hier?“ Während dieser Pause könne man eine kurze Atemübung machen oder einen Timer stellen. Nutzer sollen sich ebenso Lieblingsfotos ansehen oder zu alternativen App-Vorschlägen wechseln können, „wie zum Beispiel einem Hörbuch“.

Nach der Aktivierung von Pause Point könne man die Funktion nicht einfach abschalten, sondern das Gerät müsse neu gestartet werden.

Tools für Kreative

Mit Android 17 will Google es Kreativen einfacher machen, Inhalte zu produzieren. So könne man künftig Reaktionsvideos erstellen, ohne zwischen Apps wechseln oder einen Greenscreen einrichten zu müssen. Hierfür führt Google „Screen Reactions“ ein. Damit könne man sich selbst und den Smartphonebildschirm gleichzeitig aufnehmen. Diese Funktion wird im Laufe dieses Sommers zunächst auf Pixel-Geräten verfügbar sein.

Zudem habe Google sich mit Meta zusammengetan, um Fotos in höherer Qualität auf Instagram zu teilen. Künftig lassen sich Ultra-HDR-Inhalte aufnehmen und wiedergeben. Außerdem erhält die App eine integrierte Videostabilisierung für ruckelfreie Videos. Auch Aufnahmen bei Dunkelheit sollen durch die Integration von „Night Sight“ besser zur Geltung kommen.

Zudem habe man den „Prozess von der Aufnahme bis zum Hochladen komplett optimiert, um sicherzustellen, dass deine Fotos und Videos atemberaubend scharf bleiben, wenn du auf ‚Posten’ klickst,“ schreibt Google.

Auch die Edits-App habe Google mit Meta zusammen speziell für Android überarbeitet. In der App könne man Rohmaterial mithilfe von geräteinterner KI in Sekundenschnelle in professionell aufbereitete Inhalte verwandeln, verspricht Google. Zudem unterstützt Edits künftig Tontrennung: Die Edits-App „erkenne nun Audiospuren – Wind, Geräusche und Musik – und trennt sie voneinander, um die gewünschten Töne zu verstärken und unerwünschte zu entfernen“.

Instagram für Android-Tablets – offenbar nicht nur für Android 17

Auch an die Tablets haben Google und Meta gedacht: Denn Instagram ist nun vollständig für Android-Tablets optimiert, „und nutzt den Platz auf dem großen Bildschirm optimal aus“. Schon im September vergangenen Jahres hatte Instagram eine für iPads optimierte App veröffentlicht. Kreative erhalten außerdem Zugriff auf Adobe Premiere, die im Laufe des Sommers auf Android landen wird.

Die Premiere-App liefere unter anderem „Zugang zu exklusiven Vorlagen und Effekten, um YouTube Shorts direkt in der App zu erstellen und zu veröffentlichen“, erklärt das Unternehmen. Zudem zieht das professionelle Videoformat APV (Advanced Professional Video) ein, das unter anderem eine höhere Speichereffizienz biete. Es wurde gemeinsam mit Samsung entwickelt und ist ab sofort auf dem Samsung Galaxy S26 Ultra und dem iVvo X300 Ultra verfügbar; Support für weitere Android-Topmodelle mit Snapdragon 8 Elite-Prozessoren sollen im Laufe dieses Jahres folgen.

Wann Google die fertige Version von Android 17 veröffentlicht, hat das Unternehmen noch nicht verraten. Android 16 erschien im vergangenen Jahr einige Wochen nach der Android Show I/O Edition 2025 Anfang Juni. Zu weiteren neuen Funktionen von Android 17 gehören unter anderem App-Bubbles, getrennte WLAN- und Mobilfunk-Kacheln in den Schnelleinstellungen und Schutz gegen Angriffe durch Quantencomputer.

(afl)