Für die Einreise nach Großbritannien ist seit dem vergangenen Frühling oftmals eine Einreisegenehmigung namens „ETA“ (Electronic Travel Authorisation) nötig. Neben der offiziellen Webseite gov.uk/eta sind inzwischen zahlreiche Glücksritter mit eigenen Antragsseiten und deutlich überzogenen Preisen online gegangen. Eine dieser Seiten hat nun hunderttausende Dokumente von Antragstellern offen im Netz gelagert.

Darüber berichtet TechCrunch. Demnach seien mindestens 100.000 Dokumente in einem Amazon-Cloudspeicher (Bucket) zugreifbar gewesen, von Antragstellern, die etwa ihren Ausweis und Selfies im Rahmen des Antragsstellungsprozesses hochgeladen haben. Der Name der betroffenen Webseite lautet demnach „UK Visa Portal“. In der Nacht zum Mittwoch wurden die Daten abgesichert, jetzt sind sie nicht mehr einfach zugreifbar.

Das Amazon-Bucket hatte hochgeladene Daten nicht direkt aufgelistet, die Daten waren nur zugreifbar, wenn die Adresse bekannt war. Die hat jedoch das Backend hinter der „UK Visa Portal“-Webseite offenbar preisgegeben, sodass ein Zugriff möglich war. Die Seite ist dem Bericht zufolge auch unter „UK Visit“ und „ETA-Pass“ erreichbar. Eine Stichprobe von TechCrunch bestätigte die Echtheit der Daten, das Medium hat einige betroffene Individuen kontaktiert.

Möglicher Identitätsdiebstahl

Mit den Ausweiskopien können Angreifer etwa Identitätsdiebstahl begehen. Die weiteren Daten erleichtern zudem echter wirkendes Phishing. Wer diese Webseiten zum Einreichen des ETA-Antrags genutzt hat, sollte daher künftig besondere Vorsicht walten lassen.

Diese Webseiten waren bereits Grund zur Warnung, etwa durch das LKA Niedersachsen oder Verbraucherzentralen. Diese Webseiten sind im Regelfall mindestens überteuert und verlangen ein Vielfaches der eigentlichen Gebühren. Das LKA warnte auch vor betrügerischen Webseiten.

(dmk)

Microsoft will die Speichersicherheit in C# verbessern. Dazu überarbeitet das .NET-Team das bisherige unsafe-Modell mit dem Ziel, unsichere Operationen sichtbarer und überprüfbarer zu machen, was Speicherfehlern und damit auch Sicherheitslücken vorbeugen soll. Live gehen sollen die Änderungen mit C# 16, das voraussichtlich Ende 2027 erscheint.

KI-Coding begünstigt Speicherfehler

Das bisherige unsafe-Modell ist so alt wie das 2002 erschienene C# 1.0. Änderungsbedarf bestehe nun aber unter anderem wegen der hohen Geschwindigkeit KI-gestützter Softwareproduktion, denn die skaliere schneller als die menschliche Überprüfung, was zu mehr Speicherfehlern führen könne. Das schreibt .NET-Produktmanager Richard Lander in einem ausführlichen Blogpost.

Da viele Sicherheitslücken auf Speicherfehler zurückgehen, empfehlen internationale Sicherheitsbehörden schon seit Längerem, speichersichere Programmiersprachen in der kommerziellen Softwareentwicklung zu nutzen, wobei auch Rust explizit genannt wird.

Kein Versteckspiel mehr

Unsicheren Code blockiert C# bereits standardmäßig, doch das neue Sicherheitsmodell soll einen deutlich größeren Bereich abdecken. Dafür hat sich das .NET-Team von Rust inspirieren lassen und will Rusts Konzept der Sichtbarkeit und Weitergabe von Unsicherheit sowie dessen Syntax für C# übernehmen.

Das neu definierte Schlüsselwort unsafe greift künftig auf Member-Ebene statt auf Typ-Ebene, also dort, wo ein konkreter unsicherer Speicherzugriff stattfindet, etwa in einer bestimmten Methode oder Eigenschaft.

Des Weiteren gelten Pointer‑Typen nicht mehr automatisch als unsicher, sondern erst dann, wenn sie auf den Speicherinhalt zugreifen. Das soll verhindern, dass Sicherheitsregeln und ‑annahmen versteckt oder stillschweigend vorausgesetzt werden. Nun sollen sie für Entwicklerinnen und Entwickler klarer erkennbar und nachprüfbar sein, so Richard Lander.

Für .NET 11 und C# 15 plant Microsoft eine Opt-in-Vorschau des neuen unsafe-Modells. Die endgültige Version soll vermutlich Ende 2027 mit C# 16 und .NET 12 kommen. Um die Nutzung des neuen Sicherheitsmodells zu fördern, könnte es auf NuGet.org, dem Paket-Repository für .NET, künftig spezielle Badges für entsprechende Bibliotheken von Package‑Maintainern geben.

(mro)

Ein weiteres Update steht für Notepad++ bereit. Es schließt drei Sicherheitslücken, von denen zwei als hohes Risiko eingestuft sind und Angreifern ermöglichen, etwa Befehle oder gar Schadcode einzuschmuggeln und auszuführen.

In der Release-Ankündigung zu Notepad++ v8.9.6.1 schreibt Entwickler Don Ho, dass die neue Version die drei Schwachstellen ausbessert. In der Konfigurationsdatei „config.xml“ gibt es keine Einschränkung für den Parameter „commandLineInterpreter“, sodass etwa Angreifer mit Nutzerrechten den Eintrag anpassen oder mittels bösartigem .lnk eigene Dateien starten lassen können. Damit diese Datei gestartet wird, müssen Opfer „Datei“ – „Aktuellen Ordner öffnen“ und dort „Eingabeaufforderung (cmd)“ auswählen. Die Lösung sieht vor, die erlaubten Einträge etwa auf cmd.exe, powershell.exe oder bash.exe zu beschränken, eine Pfadprüfung sowie eine Rückfrage bei Nutzern zu stellen (CVE-2026-48778, CVSS 7.8, Risiko „hoch“).

Eine ähnliche Schwachstelle öffnet das „“-Tag innerhalb von „“ in der „shortcuts.xml“-Datei. Die führt aus, was immer dort eingetragen ist, nach dem Klick auf den entsprechenden Eintrag unter „Ausführen“ im Notepad++-Menü. Hier soll ebenfalls die Nutzer-Rückfrage vor Ausführung helfen oder etwa eine Warnung, wenn dort neue Einträge auftauchen, die nicht über die Programm-GUI angelegt wurden (CVE-2026-48800, CVSS 7.8, Risiko „hoch“). Die dritte Lücke ermöglicht lokalen Prozessen, „WM_COPYDATA“-Nachrichten an Notepad++ zu schicken; mit präparierten Anfragen bringt das Notepad++ zum Absturz, ein Denial-of-Service ist möglich (CVE-2026-48770, CVSS 5.0, Risiko „mittel“).

Aktualisierte Software-Version

Auf der Download-Seite des Notepad++-Projekts steht die neue Version in verschiedenen Formaten zum Herunterladen bereit. Die aktualisierte Software müssen Nutzerinnen und Nutzer derzeit noch manuell herunterladen und überinstallieren. Der integrierte Update-Mechanismus von Notepad++ v8.9.5 meldet, die Software sei aktuell – Ho hat die neuen Releases (auch die Version v8.9.6) also noch nicht darüber freigegeben.

Ende vergangener Woche hatte Don Ho Version v8.9.6 von Notepad++ veröffentlicht. Sie schloss eine Sicherheitslücke im Installer.

(dmk)