Angreifer können an einer Lücke in IBM Db2 Big SQL ansetzen. Eine dagegen abgesicherte Version steht zum Download bereit.

Kritische Schwachstelle

Laut der Beschreibung der Lücke in einer Warnmeldung können Angreifer im Zuge einer HTTP-Parameter-Pollution-Attacke (HPP) Systeme über präparierte Anfragen attackieren. Die Auswirkungen solcher Attacken variieren. Oft sind unberechtigte Datenzugriffe möglich.

Derzeit gibt es keine Hinweise darauf, dass Angreifer die „kritische“ Lücke (CVE-2025-7783) ausnutzen. Admins sollten sicherstellen, dass die gepatchte Ausgabe IBM Db2 Big SQL 8.2.1 oder IBM Cloud Pak for Data 5.2.1 installiert ist.

(des)

Microsoft hat am Wochenende mehrere Windows-Updates veröffentlicht. Sie beheben teils Probleme mit den Sicherheitspatches vom Januar-Patchday. Außerdem beginnt Microsoft, die im Juni ablaufenden Boot-Zertifikate von Windows mit eigenen Updates auszutauschen. Dabei untersucht der Hersteller nun neu auftretende Probleme.

Microsoft hat ein Update außer der Reihe veröffentlicht, das Probleme mit nicht mehr reagierenden Anwendungen nach der Installation der Januar-Patches lösen soll. „Nach der Installation des Windows-Updates, das am und nach dem 13. Januar 2026 veröffentlicht wurde, reagierten einige Anwendungen nicht mehr oder sind beim Öffnen von Dateien aus oder Speichern von Dateien in cloudbasiertem Speicher wie OneDrive oder Dropbox zu unerwarteten Fehlern aufgetreten“, erklärt Microsoft zu den damit korrigierten Fehlern. Außerdem führte das Update zu hängendem Outlook, wenn dessen PST-Dateien auf OneDrive gespeichert waren.

Im Windows-Release-Health-Nachrichtenzentrum schreibt Microsoft weiter, dass das Update für viele Versionen verfügbar und kumulativ ist, also die Sicherheitskorrekturen des Januar-Updates enthält: Windows 11 25H2 und 24H2 (KB5078127), Windows 11 Enterprise 25H2 und 24H2 (Hotpatch KB5078167), Windows 11 23H2 (KB5078132), Windows 10 ESU (22H2) und Enterprise LTSC 2021 (KB5078129), Windows Server 2025 (KB5078135), Windows Server 2025 Datacenter: Azure Edition (Hotpatch KB5078239), Windows Server 23H2 (KB5078133), Windows Server 2022 (KB5078136), Windows Server 2022 Datacenter: Azure Edition (Hotpatch KB5078238) und Windows Server 2019 sowie Windows 10 Enterprise LTSC 2019 (KB5078131).

Neue Secure-Boot-Zertifikate

Microsoft hat zudem damit begonnen, zum Austausch der Secure-Boot-Zertifikate eigene Windows-Updates zu verteilen. So kommt es möglicherweise zu unerwarteten Neustart-Aufforderungen.

Offenbar tauscht Microsoft zunächst nur eines von vier Zertifikaten aus, den Schlüsselregistrierungsschlüssel (KEK, Key Exchange Key). Das Zertifikat „Microsoft Corporation KEK CA 2011“ wird dabei durch „Microsoft Corporation KEK 2K CA 2023“ ersetzt. Es dient zum Signieren von DB (Datenbank erlaubter Signaturen) und DBX (Datenbank verbotener Signaturen). Bereits im vergangenen Juni hatte Microsoft die Öffentlichkeit gesucht, um Admins auf den anstehenden Zertifikatstausch für die in diesem Juni ablaufenden Secure-Boot-Zertifikate vorzubereiten – jetzt geht es also los.

Derweil untersucht Microsoft Probleme mit nicht mehr startenden Rechnern, die nach Installation der Januar-Patches die Fehlermeldung „UNMOUNTABLE_BOOT_VOLUME“ anzeigen. Das haben Admins aus Microsofts Nachrichtencenter auf Reddit gepostet. Betroffen sind Windows 11 25H2 und 24H2. Da das Problem jedoch nach Installation der Januar-Patches vom 13.01.2026 auftreten kann, steht es offenbar nicht im Zusammenhang mit den nun aktualisierten Secure-Boot-Zertifikaten.

(dmk)

Wer seine Festplatte oder SSD verschlüsselt, darf eigentlich davon ausgehen, dass nur er diese auch wieder entschlüsseln kann. Bei der Verschlüsselungstechnologie BitLocker von Microsoft scheint dies aber nicht unbedingt der Fall zu sein, weil das Unternehmen den Schlüssel in der Home-Edition von Windows automatisch im Online-Account des Nutzers abspeichert. Das schützt davor, den Schlüssel zu vergessen, gewährt aber auch Microsoft Zugriff darauf. Je nach Konfiguration betrifft dies auch Kunden der Enterprise- und Education-Varianten von Windows.

Laut dem Unternehmen erreichen Microsoft pro Jahr 20 Anfragen von Ermittlungsbehörden, die BitLocker-Schlüssel haben wollen. Einer Recherche des US-Nachrichtenmagazins Forbes zufolge hat der Konzern aus Redmond im letzten Jahr Wiederherstellungsschlüssel an das FBI übergeben. Hierbei handelt es sich um die erste bekannte Herausgabe. Hintergrund sind strafrechtliche Ermittlungen zum Diebstahl von Geldern im Rahmen eines Covid-Arbeitslosenhilfeprogramms auf der Insel Guam.

Sicherung im Online-Account: Bequem, aber nicht sicher

Gegenüber Forbes sagte Microsoft-Sprecher Charles Chamberlayne: „Die Schlüsselwiederherstellung bietet zwar Komfort, birgt jedoch auch das Risiko eines unerwünschten Zugriffs. Microsoft ist daher der Ansicht, dass die Kunden am besten entscheiden können, wie sie ihre Schlüssel verwalten möchten.“ Ob Kunden wissen, dass sie sich diesem Risiko aussetzen, ist allerdings fraglich. Bedenkt man jedoch, dass Microsoft es in den letzten Jahren immer schwieriger machte, einen Windows-PC überhaupt noch ohne Online-Account nutzen zu können, so dürfte die Anzahl an im Online-Konto hinterlegter Wiederherstellungsschlüssel relativ hoch sein.

Jennifer Granick, Beraterin für Überwachung und Cybersicherheit bei der American Civil Liberties Union, wies Forbes gegenüber darauf hin, dass diese Daten für viele Regierungen von hohem Interesse sein dürften. Dem Law Enforcement Request Report nach, den Microsoft zweimal im Jahr veröffentlicht, erreichten den Konzern zwischen Juli und Dezember 2024 auch 5296 Anfragen aus Deutschland im Rahmen von Ermittlungen zu Straftaten. Insgesamt ging es dabei um 9835 Konten beziehungsweise Benutzer. Nicht jede Anfrage resultiert automatisch in einer Herausgabe von Daten.

Wie Anwender sich schützen können

Nutzer können den Schlüssel aus ihrem Online-Account löschen. An dieser Stelle sei aber eindringlich darauf hingewiesen, dass die Verwaltung des Schlüssels ab diesem Moment vollständig in der Verantwortung des Anwenders liegt. Der Schlüssel sollte keinesfalls nur auf dem damit gesicherten Gerät hinterlegt werden. Denn wenn es einer Wiederherstellung bedarf, ist ein Zugriff auf die auf dem Gerät gespeicherten Daten nicht möglich. Als Speicherort bietet sich stattdessen beispielsweise ein Passwort-Manager auf einem anderen Gerät an. Nach dem aktiven Entfernen des Schlüssels aus dem Online-Account ist dieser theoretisch noch bis zu 30 Tage in Systemen von Microsoft zu finden.

Wer lieber auf Open-Source-Tools wie Veracrypt setzt oder die Verschlüsselung aus einem anderen Grund entfernen möchte, für den gibt es – je nach Windows-Version – zwei Wege, BitLocker zu deaktivieren. Der erste führt über die klassische Systemsteuerung. Diese erreicht man beispielsweise über das Suchfeld des Startmenüs. Danach müssen die Punkte „System und Sicherheit“ sowie „Geräteverschlüsselung“ aufgerufen werden. Im Abschnitt „Betriebssystemlaufwerk“ sollte sich nun neben „Windows (C:)“ der Knopf „BitLocker deaktivieren“ finden.

Ist dies nicht der Fall, so lässt sich BitLocker auch über das moderne Einstellungsmenü deaktivieren. Dieses lässt sich ebenfalls wieder über das Suchfeld unter „Einstellungen“ im Startmenü aufrufen. Dort wählt man „Datenschutz und Sicherheit“ und dann „Geräteverschlüsselung“ aus. Im folgenden Fenster findet sich dann der gleichnamige Eintrag mit einem Kontrollkästchen daneben. Ein Abschalten ohne alternative Absicherung ist aber nicht zu empfehlen. Die Daten sind dann, zum Beispiel im Falle eines Verlustes oder Diebstahls des Geräts, sehr leicht zugänglich.

(nie)