Tech Blog

Eine Sicherheitslücke in macOS Tahoe 26.4 führte dazu, dass beim Öffnen der Druckvorschau temporäre Dateien erstellt wurden, die einen Datenschutzverstoß darstellen konnten. Der Hersteller hat das Problem in der aktuellen Version behoben. Macbook-Nutzer sollten das Update zeitnah einspielen, um dieses Leck zu schließen.

Eine kritische Sicherheitslücke in der IPC-Komponente von Firefox und Thunderbird erlaubt Angreifern, ihre Rechte auf betroffenen Systemen zu erhöhen. Betroffen sind Versionen vor 149, schnelles Patchen ist daher dringend erforderlich, um Systeme vor Kompromittierung zu schützen.

Eine kritische Sicherheitslücke (CVE-2026-33195) in den Versionen 8.1.2.0, 8.0.4.0 und 7.2.3.0 des Rails Active Storage Moduls ermöglicht es Angreifern, durch manipulierte Blob-Keys auf dem Server beliebige Dateien zu lesen, schreiben oder zu löschen. Dies ist möglich, da der DiskService#path_for Pfad nicht ausreichend validiert wird. Anwender sollten umgehend auf die Patch-Versionen 8.1.2.1, 8.0.4.1 und 7.2.3.1 upgraden.

Eine Sicherheitslücke in der Monitoring-Software OneUptime erlaubte Angreifern durch manipulierte API-Anfragen, SQL-Code in ClickHouse-Datenbankanfragen einzuschleusen. Das Problem wurde in Version 10.0.34 behoben, aber zuvor konnten Angreifer über die Aggregations-, Sortier- und Gruppierungsfunktionen der Software beliebigen SQL-Code ausführen.

In den Versionen 22.0.0 bis 26.0.0 des Python-Wrapper-Moduls pyOpenSSL führte ein zu langer Cookie-Wert, der von einem Nutzer-Callback zurückgegeben wurde, zu einem Puffer-Überlauf in der OpenSSL-Bibliothek. Dieses kritische Sicherheitsrisiko mit einer Bewertung von 9.8 wurde in Version 26.0.0 behoben, indem zu lange Cookie-Werte nun verworfen werden.

GitLab hat eine Sicherheitslücke in den Versionen 17.10 bis 18.8.6, 18.9 bis 18.9.2 und 18.10 bis 18.10.0 behoben. Unbefugte Nutzer konnten durch unzureichenden CSRF-Schutz GraphQL-Mutationen im Namen authentifizierter Nutzer ausführen. Ein Patch ist verfügbar, Admins sollten ihre GitLab-Instanzen umgehend aktualisieren.

Eine schwerwiegende Schwachstelle mit der CVE-ID CVE-2026-2781 wurde in der Libraries-Komponente des Network Security Services (NSS) entdeckt. Betroffen sind Firefox, Firefox ESR und Thunderbird in bestimmten Versionen. Durch den Integer-Overflow kann ein Angreifer möglicherweise die Kontrolle über betroffene Systeme erlangen. Ein Patch ist dringend empfohlen, um die Gefährdung zu beseitigen.

Eine Race-Condition-Schwachstelle in macOS ermöglicht es einem eingeschränkten Prozess, die Sandbox-Beschränkungen zu umgehen. Die Lücke wurde in den Versionen 15.7.5, 14.8.5 und 26.4 geschlossen. Admins sollten zeitnah auf die Patches aktualisieren, um ihre Systeme vor möglichen Angriffen zu schützen.

Die Zimbra Collaboration Suite (ZCS) Version 8.8.15 weist eine kritische Befehlsinjektions-Schwachstelle im PostJournal-Dienst auf. Unauthentifizierte Angreifer können dadurch beliebige Systemkommandos ausführen. Die Lücke ermöglicht es, über SMTP-Injektion in den Zimbra-Dienst einzudringen und dort Remote-Code auszuführen. Das stellt eine ernsthafte Bedrohung für betroffene Systeme dar.

Eine schwerwiegende Sicherheitslücke in LoLLMs WEBUI ermöglicht es unauthentifizierten Angreifern, auf interne Dienste zuzugreifen, das Netzwerk zu scannen und möglicherweise sensible Cloud-Metadaten, einschließlich AWS- oder GCP-IAM-Token, abzugreifen. Bisher wurde kein Patch veröffentlicht, um dieses Risiko zu mindern.