QEMU 11.0.0 ist da: Die neue Version erweitert vor allem die Cloud-Unterstützung, Confidential Computing und verschiedene Hardwarearchitekturen. Zu den wichtigsten Neuerungen zählen ein neuer „nitro“-Accelerator für AWS Nitro Enclaves, zusätzliche Sicherheitsfunktionen für verschlüsselte VMs sowie Verbesserungen am Grafik- und Storage-Stack. QEMU ist ein weit verbreiteter Open-Source-Hypervisor und Emulator. Er beherrscht sowohl vollständige Virtualisierung über KVM, WHPX oder HVF als auch reine CPU-Emulation per TCG.

Nitro Enclaves lokal ausführen

Ein Schwerpunkt von Version 11.0.0 ist der neue „nitro“-Accelerator. Damit laufen AWS Nitro Enclaves erstmals nativ in QEMU. Diese Enclaves sind stark isolierte Laufzeitumgebungen innerhalb von EC2-Instanzen. Sie haben weder Netzwerkzugriff noch persistenten Speicher und eignen sich für sicherheitskritische Workloads wie Schlüsselverwaltung oder die Verarbeitung sensibler Daten. Entwickler können solche Szenarien in QEMU nun lokal testen, ohne auf AWS-Infrastruktur zurückgreifen zu müssen.

Mehr Schutz für vertrauliche VMs

Im Bereich Confidential Computing baut QEMU die Unterstützung hardwarebasierter Sicherheitsmechanismen aus. Neu ist die Virtualisierung von Intels Control-flow Enforcement Technology (CET), die ROP-, JOP- und COP-Angriffe erschwert. Außerdem kann KVM SEV-SNP- und TDX-VMs nun zurücksetzen. Dafür initialisiert QEMU einen neuen, verschlüsselten Gastkontext. SEV-SNP und TDX schirmen virtuelle Maschinen gegen den Host ab und verschlüsseln deren Speicher.

Auch bei den Hypervisor-Backends gibt es Fortschritte. QEMU verbessert die Unterstützung der Beschleuniger MSHV und WHPX. Auf macOS beschleunigt HVF nun ARM-Workloads mit der Scalable Matrix Extension 2 (SME2), sofern die Host-CPU diese unterstützt.

Grafik und Storage

Im Grafikstack erweitert QEMU virtio-gpu um den Modus „DRM native context“ für ausgewählte Linux-Grafiktreiber. Zudem lassen sich pro virtuellem Display unterschiedliche Auflösungen festlegen. Das erleichtert Multi-Monitor-Setups in VMs und verbessert die Anbindung moderner Grafik-APIs.

Im Block-Layer unterstützt der NFS-Treiber jetzt libnfs v6, außerdem haben die Entwickler die curl- und FUSE-basierten Blocktreiber überarbeitet. Das ist vor allem für Netzwerk-Storage und Host-seitige Image-Werkzeuge relevant: QEMU verbessert die Anbindung von Images auf NFS-Servern sowie über HTTP(S)/FTP erreichbaren Quellen. Per FUSE lassen sich Images zudem als Raw-Image für Host-Tools bereitstellen.

Der Tiny Code Generator (TCG), QEMUs Backend für reine Software-Emulation, unterstützt nun C++-Plugins direkt im Quellbaum. Das vereinfacht die Entwicklung von Analyse- und Instrumentierungswerkzeugen, etwa für Tracing oder Performance-Profiling.

Erweiterte Architekturunterstützung

Darüber hinaus erweitert QEMU 11.0.0 die Unterstützung zahlreicher Prozessorarchitekturen. Auf ARM kommen die CPU-Features FEAT_ASID2 und FEAT_E2H0 hinzu, außerdem emuliert TCG nun die Scalable Matrix Extension (SME). Für x86 unterstützt QEMU nun Intels kommende Diamond-Rapids-Prozessoren. RISC-V erhält mehrere neue ISA-Erweiterungen sowie eine verbesserte Darstellung der Control and Status Register. Auch LoongArch, HPPA, s390 und PowerPC erhalten neue Funktionen wie erweiterte ISA-Emulation, Snapshot-Support und zusätzliche Boot-Optionen.

Alle Informationen zu QEMU 11 finden sich in den Release Notes auf der Webseite des Projekts.

(fo)

Mit Version 3.1.0 erhält die Open-Source-Webanalyse Umami mehrere größere Funktionen für Auswertung, Debugging und Performance-Monitoring. Im Mittelpunkt stehen frei konfigurierbare Dashboards namens „Boards“ sowie Session Replays, mit denen sich echte Nutzersitzungen nachvollziehen lassen. Hinzu kommen ein integriertes Tracking der Core Web Vitals, deutlich erweiterte Filter- und Segmentfunktionen sowie überarbeitete Sharing-Optionen. Außerdem schließt das Release mehrere Sicherheitslücken, führt Schema-Migrationen aus und hebt die Mindestanforderungen an die Plattform an.

Umami ist eine datenschutzfreundliche, selbst hostbare Alternative zu klassischen Webanalyse-Diensten wie Google Analytics. Die Software erfasst Seitenaufrufe und Events ohne Third-Party-Tracking und richtet sich vor allem an Entwickler und Unternehmen, die ihre Analyse selbst kontrollieren wollen.

Die neuen Boards bringen ein flexibles Dashboard-System. Anwender stellen Auswertungen aus Diagrammen, Tabellen und Kennzahlen in einem frei gestaltbaren Raster zusammen. Einzelne Komponenten lassen sich verschiedenen Websites zuordnen, live anpassen und anschließend im Team teilen oder duplizieren. Damit nähert sich Umami funktional spezialisierten Monitoring- und BI-Tools an. Ein Marketing-Team kann so etwa ein Board für Kampagnenkennzahlen pflegen, während das Produktteam parallel eines für Feature-Nutzung und Conversions führt.

Ebenfalls neu ist Session Replay. Die Funktion spielt reale Nutzersitzungen im Browser nach und basiert auf der Bibliothek rrweb. Session Replay zeichnet Klicks, Scrollbewegungen und Eingaben auf. Über konfigurierbare Maskierungsstufen lassen sich sensible Inhalte ausblenden. Die Aufzeichnungen sind pro Besuch segmentiert und nach Events filterbar. Das hilft etwa dabei, Abbrüche in Formularen oder Checkout-Prozessen zu analysieren.

Performance-Monitoring und feinere Auswertungen

Im Bereich Performance erfasst Umami nun die Core Web Vitals direkt im Browser der Besucher, darunter Largest Contentful Paint (LCP), Interaction to Next Paint (INP), Cumulative Layout Shift (CLS), First Contentful Paint (FCP) und Time to First Byte (TTFB). Eine überarbeitete Performance-Ansicht stellt die Werte dar und bewertet sie anhand gängiger Schwellenwerte. So lässt sich zum Beispiel erkennen, ob blockierendes JavaScript Interaktionen auf Mobilgeräten verzögert.

Auch die Filter- und Segmentlogik wächst spürbar. Neu sind ODER-Verknüpfungen zwischen Bedingungen, Regex-Operatoren und Mehrfachauswahl bei Vergleichsoperatoren. UTM-Parameter stehen jetzt systemweit zur Verfügung. Damit lassen sich komplexere Auswertungen formulieren, etwa Nutzersegmente über mehrere Kampagnen oder Regionen hinweg. Funnels unterstützen außerdem Filter auf Event-Eigenschaften pro Schritt sowie Wildcards in Zieldefinitionen.

Die überarbeitete Share-Funktion erlaubt eine feinere Steuerung freigegebener Inhalte. Einzelne Bereiche wie Übersichten oder Events lassen sich ein- oder ausblenden, Share-Links können einen Namen erhalten. Die Darstellung ist vollständig für Mobilgeräte optimiert.

Administration, Internationalisierung und kleinere Verbesserungen

Weitere Neuerungen sind unter anderem die zusätzliche Filterdimension „Distinct ID“, eine flexible Zeitaggregation nach Stunde, Tag oder Monat, ein Download für Berichte sowie Performance-Optimierungen durch Pagination-Limits und Cache-Control-Header. Hinzu kommen Geolocation-Header für EdgeOne und zusätzliche Konfigurationsoptionen über Umgebungsvariablen.

Im Administrationsbereich wechselt Umami von react-intl zu next-intl und liefert vollständige Übersetzungen für 51 Sprachen. Mit „react-zen“ führt das Projekt zudem ein einheitliches Design-System ein und überarbeitet die Navigation. Die Teamfunktionen sind nun konsolidiert und um eine Redis-basierte Feature-Steuerung ergänzt.

Sicherheit, Migrationen und Bugfixes

Auf der Sicherheitsseite schließt das Release IDOR-Schwachstellen in Berichten und Segmenten und schränkt Share-Tokens stärker ein. Zusätzlich aktualisiert es mehrere Abhängigkeiten mit bekannten Lücken.

Für die neuen Funktionen führt Umami automatisch Schema-Migrationen aus, etwa für Boards, Session Replay und die Sharing-Mechanismen. Die Mindestanforderung steigt auf Node.js 22, weil das Release auf Prisma 7 setzt.

Daneben behebt Version 3.1.0 zahlreiche Bugs, vor allem bei der PostgreSQL-Kompatibilität, in SQL-Abfragen, bei der Zeitzonenverarbeitung sowie im Tracker und in der Oberfläche. Details zu allen Änderungen finden sich in den Release Notes auf der GitHub-Projektseite von Umami. Version 3.0 erschien im November 2025 und fügte in Umami neue Tracking-Features hinzu.

(fo)

Das vor gut zwei Wochen vorgestellte KI-Werkzeug des US-Unternehmens Anthropic zum Aufspüren von Software-Schwachstellen bereitet den Verantwortlichen in mehreren deutschen Behörden Kopfzerbrechen. Denn zu der Sorge, das wirkmächtige KI-Modell Claude Mythos Preview könne in die falschen Hände geraten, gesellt sich inzwischen auch die Befürchtung, Schwachstellen als Zugang für die Aufklärung verschlüsselter Kommunikation – etwa von Terroristen – könnten in Zukunft womöglich nur noch ausgewählten Behörden in den USA zur Verfügung stehen. Offiziell äußern sich die Verantwortlichen vorsichtig zu den mit Mythos verbundenen Herausforderungen und Risiken.

Schwachstellen zu schließen ist erst einmal gut

„Es ist zunächst eine gute Entwicklung, wenn Schwachstellen schneller gefunden und geschlossen werden können“, teilt der Leiter der Abteilung Cybercrime beim Bundeskriminalamt (BKA), Carsten Meywirth, auf Anfrage mit. Die Erfahrung zeige jedoch, dass sich cyberkriminelle Vorgehensweisen und Angriffsvektoren sehr schnell an den Stand der Technik anpassten. Diese Dynamik lasse sich nicht einseitig aufhalten.

Meywirth betont: „Cybersicherheit bleibt deshalb auch in Zukunft eine Gemeinschaftsaufgabe im steten Zusammenspiel von Software-Herstellern, Anwendern, privaten Sicherheitsdienstleistern und Behörden.“ Als Zentralstelle der deutschen Polizei fördere das BKA dabei die nationale und internationale Zusammenarbeit, auch mit dem privaten Sektor.

KI-Modell soll nicht öffentlich zugänglich sein

Mythos gelang es laut Anthropic, zum Teil über Jahrzehnte unentdeckt gebliebene Sicherheitslücken in verschiedener Software zu finden. In den falschen Händen könnte das KI-Modell deshalb zur Entwicklung gefährlicher Cyberwaffen führen. Anthropic hat keine Pläne, Mythos zu veröffentlichen – und gewährt bisher nur einen Zugang für ausgewählte Unternehmen und Organisationen, damit sie Schwachstellen in ihrer Software schließen können.

Wie heikel das Thema ist, zeigt eine Antwort des Bundesfinanzministeriums auf die Frage, wie das Ministerium mit der Entwicklung des neuen potenziell gefährlichen KI-Modells umgehe. Das Informationstechnikzentrum Bund, der zentrale IT-Dienstleister der Bundesverwaltung, analysiere aktiv die Lage mit Blick auf Softwareschwachstellen. Zugleich bat das Finanzministerium um Verständnis, dass „zu den Details vorgenommener Schwachstellenanalysen“ und damit zusammenhängender Prozesse „aus Gründen der Sensibilität des Themas öffentlich keine weitergehenden Auskünfte gegeben werden können“.

BSI wies früh auf Umwälzungen hin

Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hatte bereits kurz nach der Vorstellung von Claude Mythos Preview erklärt, das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“.

Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“ Zudem stelle sich die Frage, ob und wenn ja wie lange derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. „Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität.“

(mho)