Tech Blog

Google hat ein Sicherheitsupdate für Chrome veröffentlicht, um eine kritische Schwachstelle (CVE-2026-2441) zu schließen, die angeblich bereits aktiv ausgenutzt wird. Die Sicherheitslücke mit einem CVSS-Score von 8.8 ermöglicht es Angreifern, nach einer Ausführung von Code willkürlich auf den Arbeitsspeicher zuzugreifen. Das Update sollte so schnell wie möglich installiert werden, um die Systeme vor möglichen Kompromittierungen zu schützen.

Die WhatsApp-Brücke-Komponente in Nanobot bindet den WebSocket-Server standardmäßig an alle Netzwerkschnittstellen (0.0.0.0) auf Port 3001 und erfordert keine Authentifizierung für eingehende Verbindungen. Ein nicht authentifizierter Angreifer mit Netzwerkzugriff kann sich mit dem WebSocket-Server verbinden, um die WhatsApp-Sitzung zu kapern. Dadurch kann er im Namen des Nutzers Nachrichten senden, alle eingehenden Nachrichten und Medien in Echtzeit abfangen und Authentifizierungs-QR-Codes erfassen.

Eine kritische Sicherheitslücke mit der Bewertung 9.8 wurde in der Firmware des EFM iptime A6004MX Router entdeckt. Angreifer können durch eine Schwachstelle in der Dateiupload-Funktion beliebigen Code ausführen. Der Exploit ist bereits öffentlich bekannt und kann leicht missbraucht werden. Der Hersteller hat trotz Kontaktaufnahme nicht reagiert.

Eine kritische Schwachstelle (CVE-2025-15157, CVSS 8.8) im WordPress-Plugin "Starfish Review Generation & Marketing" ermöglicht es autorisierten Angreifern, Administratorrechte auf betroffenen Websites zu erlangen. Das Plugin weist einen fehlenden Capability-Check in der Funktion "srm_restore_options_defaults" auf, was Benutzer mit Subscriber-Rechten und höher zum Ändern beliebiger Optionen nutzen können.

Eine Sicherheitslücke in Podman ermöglicht es Angreifern, Dateien auf dem Host-System zu überschreiben, wenn das kube-play-Kommando verwendet wird und das kube-Dateicontainer einen Symlink zu einem Hostdateipfad enthält. Zwar können Angreifer nur das Ziel der Überschreibung, nicht aber den Inhalt kontrollieren, dennoch stellt dies eine ernsthafte Bedrohung dar. Das Problem betrifft Podman-Versionen bis 4.0.0, wurde aber in Version 5.6.1 behoben.

Eine Sicherheitslücke in ose-openshift-apiserver erlaubt Angreifern die interne Netzwerkerkundung, Dienstentdeckung und Denial-of-Service-Attacken durch Server-Side Request Forgery (SSRF). Dies ist möglich, da die Überprüfung von IP-Adressen und Netzwerkbereichen in der Verarbeitung von benutzerspezifischen Bildverweisen fehlt.

Schon wieder eine 0-Day-Schwachstelle in Chrome, die von Cyberkriminellen ausgenutzt wird. Die Sicherheitslücke CVE-2026-2441 ermöglicht Remote-Code-Ausführung - das bedeutet, dass Angreifer beliebigen Schadcode auf betroffenen Systemen installieren können. Google hat zwar schon einen Patch veröffentlicht, aber bis der in der Fläche verteilt ist, heißt es wieder Daumen drücken. Sysadmins müssen jetzt schnell reagieren und ihre Chrome-Installation auf den neuesten Stand bringen, bevor die Hacker zuschlagen.

Im WordPress-Plugin "Ecwid by Lightspeed Ecommerce Shopping Cart" bis einschließlich Version 7.0.7 existiert eine kritische Schwachstelle, die es authenticated Angreifern mit minimalen Rechten ermöglicht, durch Ausnutzung eines fehlenden Capability-Checks die Administratorrechte zu erlangen. Betreiber sollten das Plugin umgehend auf die neueste Version aktualisieren, um die Sicherheitslücke (CVE-2026-1750) zu schließen.

Eine kritische Sicherheitslücke (CVE-2025-32061) in der Bluetooth-Implementierung der Bosch-Infotainment-ECU ermöglicht Angreifern die Erlangung von Root-Rechten. Die Schwachstelle resultiert aus mangelhafter Überprüfung von Benutzereingaben und kann zu einem Stack-Überlauf führen. Betroffen sind Nissan Leaf Fahrzeuge aus dem Jahr 2020. Ein Patch ist erforderlich, um die Verwundbarkeit zu beheben.

Die populäre Open-Source-Vektordatenbank Milvus ist von einer kritischen Authentifizierungs-Umgehungslücke betroffen. Angreifer können durch Ausnutzen einer schwachen Authentifizierung auf sensible Funktionen zugreifen und Daten manipulieren. Ein Upgrade auf die Versionen 2.5.27 und 2.6.10 ist dringend empfohlen, um diese Schwachstelle zu schließen.