Gleich mehrere schwerwiegende Sicherheitslücken in gängigen Verschlüsselungstools erschüttern die digitale Kommunikation. Betroffen sind unter anderem Gpg4win, wolfSSL und OpenSSL – Bibliotheken, die weltweit millionenfach im Einsatz sind.
Datenleck bei Gpg4win: Verschlüsselung versagt bei Stapelverarbeitung
Eine besonders heikle Schwachstelle wurde am heutigen Donnerstag in der Version 5.0.2 von Gpg4win entdeckt. Das Problem betrifft Kleopatra, die Komponente zur Zertifikatsverwaltung und Verschlüsselung. Versuchen Nutzer, mehrere Dateien gleichzeitig mit S/MIME-Zertifikaten zu signieren und zu verschlüsseln, passiert das Gegenteil: Die Software erzeugt eine .p7s-Datei, die sämtliche ausgewählten Dateien im unkodierten Klartext enthält.
Während die Ver- und Entschlüsselung einzelner Dateien sowie GPG/PGP-Prozesse einwandfrei funktionieren, droht Unternehmen bei Stapelverarbeitung eine fatale Datenpanne. Besonders kritisch: Der Anwender bemerkt den Fehler im Normalfall nicht sofort.
wolfSSL 5.9.2: 32 Sicherheitslücken geschlossen
Bereits am Mittwoch veröffentlichte das Entwicklerteam von wolfSSL ein umfangreiches Update. Version 5.9.2 schließt insgesamt 32 Sicherheitslücken, von denen mehrere die Zertifikatsvalidierung und den PKCS7-Standard betreffen – das Herzstück von S/MIME.
Zu den wichtigsten Korrekturen zählen:
– CVE-2026-11999: Fehler bei der Zertifikatsprüfung
– CVE-2026-11310: Umgehung von Vertrauensankern (Trust-Anchor-Bypass)
– CVE-2026-5295: Stack-Überlauf in PKCS7
– CVE-2026-6679: Heap-Überlauf in DTLS 1.3
Sicherheitsexperten raten zu einer sofortigen Aktualisierung, insbesondere für IoT-Geräte und Anwendungen, die auf diese Kompatibilitäts-APIs angewiesen sind.
IT-Sicherheit in Zeiten neuer Cyberrisiken erfordert proaktives Handeln und fundiertes Wissen über aktuelle Bedrohungen. Dieses kostenlose E-Book zeigt Ihnen, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. IT-Sicherheit stärken und Unternehmen schützen
OpenSSL: Angriff auf die Entschlüsselung
Parallel dazu sorgt eine Schwachstelle in OpenSSL für Unruhe. CVE-2026-42768 ermöglicht eine sogenannte Bleichenbacher-Attacke auf die Entschlüsselung von CMS- und PKCS7-Nachrichten, wenn RSA PKCS#1 v1.5 als Schlüsseltransport verwendet wird. Die Entwickler haben eine implizite Zurückweisung in die Entschlüsselungsfunktion eingebaut, um den Angriff zu erschweren.
SUSE bewertet die Lücke mit einem CVSS-Score von 4,2 (moderat) und hat bereits Ende Juni Patches ausgeliefert. Immerhin: FIPS-zertifizierte Module ab Version 3.4 sind nicht betroffen.
Alte Algorithmen: Microsoft hält an SHA-1 und MD5 fest
Ein alarmierender Befund erreichte die Fachwelt am Mittwoch: Microsoft-Systeme akzeptieren weiterhin SHA-1- und MD5-Digests bei der Zertifikatsverarbeitung (CVE-2026-6412). Diese längst als unsicher geltenden Algorithmen könnten Angreifern Tür und Tor für Manipulationen öffnen.
Immerhin: Microsoft hat für 2029 eine Deadline gesetzt, um kritische Produkte auf Post-Quanten-Kryptografie umzustellen. Das Ziel: mehr krypto-Agilität und sichere Vertrauensketten.
Immer mehr Unternehmen geraten durch technische Schwachstellen ins Visier von Cyberangriffen, die oft durch gezielte Manipulation eingeleitet werden. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen mit einer 4-Schritte-Strategie effektiv vor Hacker-Angriffen absichern. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Apple: „Hide My Email“ bleibt undicht
Ein ungelöstes Problem plage Apple-Nutzer weiterhin. Bereits im Juni 2025 entdeckte ein Sicherheitsforscher eine Schwachstelle in der Funktion „Hide My Email“. Mehr als ein Jahr später ist der Fehler, der die Offenlegung der echten E-Mail-Adresse ermöglicht, immer noch nicht behoben.
Experten warnen: Systematisches Problem
Die aktuellen Schwachstellen reihen sich ein in eine lange Geschichte von Sicherheitsproblemen im S/MIME-Ökosystem. Frühere Updates für Thunderbird und Rocky Linux mussten unter anderem die Akzeptanz von Signaturen mit falschen Daten (CVE-2023-50761) und kritische Heap-Überläufe in NSS-Bibliotheken (CVE-2021-43527) beheben.
Branchenexperten betonen: Konsequentes Patchen und die Abkehr von veralteten Algorithmen bleiben die wirksamsten Mittel gegen diese wiederkehrenden Protokollschwächen. Unternehmen sollten ihre Verschlüsselungsinfrastruktur dringend auf den aktuellen Stand bringen.

