Zum Inhalt springen

„Fragnesia“: Nächste Rechteausweitungslücke im Linux-Kernel

Microsoft warnt vor „Fragnesia”, einer neuen Linux-Kernel-Schwachstelle (CVE-2026-46300, CVSS 9,9), die eine Variante der Dirty Frag-Lücke darstellt. Sie betrifft das XFRM-ESP-Subsystem in IPsec und ermöglicht Angreifern, Root-Privilegien zu erlangen. Entdeckt von William Bowling mittels KI-gestütztem Tool, sind Exploit-Code sowie Patches bereits auf GitHub verfügbar.

Share on:

F5 BIG-IP: Quartalssicherheitsupdate schließt zahlreiche Lücken

F5 hat sein Quartalssicherheitsupdate veröffentlicht und schließt Schwachstellen in BIG-IP, BIG-IQ Centralized Management sowie NGINX Plus und NGINX Open Source. Besonders kritisch ist eine Lücke in NGINX, die unauthentifizierte Schadcode-Ausführung per präparierter HTTP-Anfrage erlaubt. Erfolgreiche Angriffe können DoS-Zustände, Rechteerweiterungen und Zugriffe auf geschützte Netzwerkbereiche ermöglichen. Admins sollten relevante Patches zeitnah einspielen.

Share on:

Ivanti EPM: Sicherheitslücken ermöglichen SQL-Iinjection und Rechteausweitung

Ivanti warnt vor drei Sicherheitslücken im Endpoint Manager (EPM): Eine SQL-Injection-Schwachstelle in der Web-Konsole ermöglicht authentifizierten Angreifern das Einschleusen von Schadcode, eine fehlerhafte Rechtezuweisung erlaubt lokale Rechteausweitung, und ein Core-Server-Fehler gefährdet Zugangsdaten. Alle drei von der Zero Day Initiative gemeldeten Schwachstellen werden mit Version Ivanti EPM 2024 SU6 behoben.

Share on:

Update stopft 79 Sicherheitslücken in Google Chrome

Googles wöchentliches Chrome-Update schließt insgesamt 79 Sicherheitslücken, davon 14 kritische. Acht der kritischen Schwachstellen sind Use-After-Free-Bugs, weitere betreffen ganzzahlige Überläufe, Pufferüberläufe und eine Rennbedingung im Payments-Bereich. 37 Lücken gelten als hoch und 28 als mittelschwer. Google bestätigt, dass keine der Schwachstellen bisher aktiv ausgenutzt wurde.

Share on:

CISA fügt kritische Cisco SD-WAN Sicherheitslücke in KEV-Katalog auf

CISA hat eine kritische Authentifizierungslücke (CVE-2026-93) in Cisco SD-WAN Controller in ihren KEV-Katalog aufgenommen. Bundesbehörden müssen bis Mai 2026 patchen. Die Bedrohungsgruppe UAT-8616 nutzt die Lücke bereits aktiv aus; mindestens zehn Bedrohungsgruppen exploitieren verwandte Sicherheits

Share on:

Alles ist Conductor: Warum Agent-First das Coding neu definiert

Conductor etabliert sich als führende Agent-First-Coding-Plattform und erhält prominente Unterstützung von Y Combinators Garry Tan, der das Tool Claudia Code in direkten Tests überlegen sieht. Der Trend zeichnet eine Verschiebung vom klassischen Code-First zum Agent-gesteuerten Entwicklungsansatz.

Share on: