Für Linux und andere Unix’oide Betriebssysteme gibt es mehrere Treiber-Optionen für den Zugriff auf das Windows-NTFS-Dateisystem. Eine davon ist das quelloffene NTFS-3G von Tuxera, das auf FUSE (Filesystem in Userspace) fußt. Nach knapp vier Jahren haben die Entwickler ein Update veröffentlicht, das auch eine hochriskante Sicherheitslücke schließt.

Laut Sicherheitsmitteilung von Tuxera handelt es sich dabei um einen Heap-basierten Pufferüberlauf. In der mit SUID-root ausgeführten ntfs-3g-Binärdatei können Angreifer mit einem sorgsam präparierten NTFS-Image den Pufferüberlauf in der Funktion ntfs_build_permissions_posix() provozieren, erklären die Programmierer. Der Fehler löst bei Lesezugriffen beim Verarbeiten von Security-Deskriptoren aus, die mehrere „Zugriff verboten“-Einträge mit Inhalt „WRITE_OWNER“ von unterschiedlichen Gruppen-Security-Identifiern (SID) enthalten (CVE-2026-40706, CVSS 7.8, Risiko „hoch“).

Die Entwickler führen weiter aus, dass bösartige Akteure Kontrolle über die Größe des Überlaufs haben, von 8 bis über 14.000 Bytes. Zudem können sie zum Teil kontrollierte Daten dadurch in den Speicher hinter dem allokierten Heap schreiben. Das grätscht wiederum in Heap-Daten der glibc. Explizit schreiben sie es nicht, aber auch der Schweregrad der Lücke deutet damit an: Angreifer können so Code einschleusen und mit den root-Rechten aus SUID laufen lassen.

Korrigierter Quellcode

Tuxera hat am Dienstag dieser Woche korrigierte Quellen veröffentlicht. Sie heben NTFS-3G auf den Stand 2026.2.25 – zuvor war Version 2022.10.3 aus dem Jahr 2022 aktuell. Die Release-Notizen zählen noch zahlreiche kleinere Fehlerkorrekturen auf. Die reichen von Tippfehlern in Meldungen hin zu Crash-Bugs.

Wer den Treiber nicht umgehend aktualisieren kann, kann vorgeschlagene Gegenmaßnahmen umsetzen. Das Deaktivieren von ACLs in der Build-Konfiguration mit anschließendem Rebuild und Reinstall hilft den Entwicklern zufolge, oder etwa das erzwungene Deaktivieren von User-Mapping mit anschließendem unmount und mount mit einer gesetzten Option -ousermapping=. Zudem soll Abhilfe schaffen, für alle gemounteten NTFS-Volumes die Datei „.NTFS-3G/UserMapping“ zu löschen und anschließend die Images aus- und wieder neu einzuhängen. Wer auf den Paketmanager seiner Distribution setzen kann: Debian stellt bereits gepatchte Pakete für alle stabilen Releases über den Security-Channel bereit, Ubuntu folgte ebenfalls mit Backports des Sicherheitsupdates.

Es gibt inzwischen alternative NTFS-Treiber, die im Linux-Kernel laufen und performanter sein sollen. Im vergangenen Oktober hat der Entwickler Namjae Jeon etwa „ntfsplus“ vorgestellt.

Siehe auch:

• NTFS-3G: Download schnell und sicher von heise.de

(dmk)

Die Phishing-Attacken auf dem Messenger Signal gegen prominente Personen aus Politik und Journalismus sind offenbar erfolgreich. Nun ist bekannt geworden, dass auch Bundestagspräsidentin Julia Klöckner auf den Phishing-Versuch hereingefallen ist. Nach Informationen von netzpolitik.org waren die Angreifer bei mindestens einem weiteren Bundestagsabgeordneten sowie mehreren Angehörigen großer Redaktionen erfolgreich.

„Es ist davon auszugehen, dass so zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“, heißt es in der 20-seitigen Warnung des Verfassungsschutzes (BfV) an Bundestagsabgeordnete, aus der der Spiegel zitiert. Dem BfV seien bereits „zahlreiche hochrangige Betroffenheiten“ bekannt geworden, so der Bericht weiter. Angesichts der Art der Angriffe vermutet der Geheimdienst laut dem Spiegel allerdings eine „deutlich höhere Dunkelziffer“.

Zusammen mit Netzwerk Recherche hatte netzpolitik.org Informationen gesammelt, wer im Journalismus wann die Phishing-Attacke zugesandt bekam. Demnach hatten hierzulande deutlich mehr als 100 Journalist:innen aller Mediengattungen und zahlreicher Medienhäuser den Angriffsversuch erhalten.

Unter den Angegriffenen sind viele Journalist:innen aus dem investigativen Bereich sowie mehrere sehr prominente Vertreter:innen der Medienbranche. Die Angriffe laufen nach Informationen von netzpolitik.org seit September 2025. Dabei wurden manche Personen auch schon mehrfach von den Angreifern angeschrieben, manche bis zu vier Mal.

Bei der Phishing-Attacke, über die netzpolitik.org als erstes in Deutschland berichtet hat, schreiben die Angreifer eine Nachricht im Namen des Signal-Supports an die betroffene Person, in der sie behaupten, dass deren Account attackiert werde. Dazu fordert der falsche Support, dass die Nutzer:innen ihren Verifizierungscode senden. Geben die Nutzer:innen diesen und ihre Signal-PIN an die Angreifer, können diese den Account übernehmen und damit Kontakte, Netzwerke, Chats und Chatgruppen aus- und mitlesen.

Immer mehr Spuren beim Messenger-Phishing weisen auf Russland

Viel spricht für Russland als Urheber des Angriffs

Das niederländische Verteidigungsministerium hatte Anfang März gesagt, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl die militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD nun von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatten vor einigen Tagen noch einmal vor der Phishing-Attacke gewarnt und auch einen Leitfaden für Betroffene veröffentlicht.

Der Effekt ist immer wieder verblüffend: Gerade wird über ein Thema gesprochen, und schon kurz darauf zeigen soziale Netze oder Webseiten etwa auf dem Smartphone dazu passende Werbung an. Die unmittelbare zeitliche Nähe legt den Verdacht nahe, dass Smartphones oder Smartspeaker mitgehört und die Informationen an Dienstanbieter übertragen haben. Das ist jedoch überhaupt nicht nötig. Datenverknüpfung und Meta-Daten reichen dazu vollkommen aus.

Auf das Thema macht Avast in einem Blogbeitrag aufmerksam. Das Unternehmen verweist auf ein Erklärvideo des Instagram-Chefs Adam Mosseri. Der musste offenbar sogar seine eigene Frau davon überzeugen, dass Instagram Gespräche nicht belauscht. Dort führt er aus, dass er schon häufiger hitzige Diskussionen dazu führen musste, und bekräftigt: „Wir hören euch nicht zu. Wir nutzen das Mikrofon des Telefons nicht, um euch abzuhören.“

Das wäre einerseits eine grobe Verletzung der Privatsphäre. Andererseits würde sich der Akku des Telefons schneller entladen. Und das Smartphone würde zudem ein kleines Lämpchen am oberen Bildschirmrand anzeigen, das darauf hinweist, dass das Mikrofon angeschaltet ist.

Meta-Informationen geben Interessen preis

Wenn sehr passgenaue Werbung angezeigt wird, könne das laut Mosseri daran liegen, dass Betroffene zuvor auf etwas getippt haben, was damit zu tun hat, oder weil sie eine Suche auf einer Webseite zu dem Thema anstießen. Instagram arbeite mit Werbetreibenden zusammen, die versuchen, zielgenau Personen mit Werbung zu versorgen. Wer also auf einer Webseite nach einem Produkt geschaut hat, kann Werbung dazu angezeigt bekommen, da Werbetreibende Instagram dafür bezahlen, dort gezielt Besucher der Seite anzusprechen.

Zudem spielt Instagram solche Werbung auch an Kontakte von Nutzern aus, von denen das Unternehmen glaubt, dass sie ebenfalls an den Produkten interessiert sein könnten, erklärt Mosseri weiter. Das basiere darauf, was ihre Freunde interessiert oder was Menschen mit ähnlichen Interessenprofilen derzeit spannend finden. Es könne also sein, dass man mit jemandem spricht, der schon vorher nach dem Thema gesucht hat oder im Allgemeinen Menschen mit ähnlichen Interessen das getan haben. Ein dritter Punkt sei, dass die Werbung bereits angezeigt wurde, jedoch unbemerkt blieb – also einfach „überscrollt“ wurde. Solche Werbung kann trotzdem von Betrachtern aufgenommen werden und später Interesse auslösen. Zu guter Letzt nennt Mosseri tatsächlich den Zufall – das könne mal passieren.

Tracking: Datensammlung und -Verknüpfung

Die Ursache ist also Werbe-Tracking und Datenverknüpfung durch Werbetreibende oder deren Dienstleister. Auch das Lauschen von Smartspeakern ist nicht nötig – die beschränken sich vor dem Mithören und Auswerten auf ein Aktivierungswort, das diesen Prozess erst startet. Um gezielte Werbung zu reduzieren – ganz verhindern lässt sie sich sicher nicht –, schlägt Avast vor, das Tracking durch Werber einzuschränken. Dazu gehört das Überprüfen von App-Berechtigungen auf Smartphones und dort gegebenenfalls das Entfernen von Rechten zur Mikrofon- oder Ortungs-Nutzung. Sofern sich personalisierte Werbung in der App deaktivieren lässt, sollten Nutzerinnen und Nutzer das auch tun. Webbrowser mit Fokus auf Privatsphäre können das Tracking über Webseiten hinweg einschränken (Cross-Site-Tracking). Dazu gehören etwa Brave, Firefox, DuckDuckGo oder der Tor-Browser.

Da Werbesysteme auch Geräte gruppieren, die zu einem Haushalt oder Netzwerk zu gehören scheinen, sollte die Nutzung von geteilten Konten reduziert werden. Das Browsen im Inkognito-Modus soll ebenso helfen, die Datensammelei zu reduzieren. Avast erwähnt auch die Do-Not-Track-Option, etwa in Apps und Browsern. Firefox hat die aber wieder entfernt, da sie weitgehend von Webseiten ignoriert wurde.

Etwas ironisch ist, dass ausgerechnet Avast auf das Thema aufmerksam macht. Immerhin musste das inzwischen zu Gen Digital gehörende Unternehmen 16,5 Millionen US-Dollar Strafe für Datenweitergabe zahlen. Die Software aus dem eigenen Hause sollte vor Überwachung im Internet schützen, sammelte und speicherte jedoch die Daten zur Browsernutzung. Die Tochterfirma Jumpshot verkaufte die bei mehr als 100 Millionen Nutzern gesammelten Daten zwischen 2014 und 2020 an über 100 Werbefirmen. Zwar pseudonymisiert, aber offenbar doch wieder identifizierbar.

(dmk)