Januscape-Lücke: 16 Jahre alte Linux-Schwachstelle geschlossen

Die neue Version des freien Office-Pakets verbessert die Cloud-Integration und ermöglicht die Fernsteuerung von Präsentationen per Android-App.

Die Document Foundation veröffentlicht LibreOffice 4.0 mit verbesserter Cloud-Anbindung und mobilen Features.

Die neue Version des freien Office-Pakets ist ab sofort verfügbar und setzt vor allem auf bessere Integration mit externen Systemen. LibreOffice 4.0 unterstützt erstmals den CMIS-Standard für den direkten Zugriff auf Content-Management-Systeme. Zudem lässt sich die Präsentationssoftware Impress künftig per Android-App fernsteuern – eine Funktion, die insbesondere für Berufstätige interessant sein dürfte, die häufig unterwegs präsentieren.

Verbesserte Kompatibilität mit Microsoft-Formaten

Die Entwickler haben auch die Zusammenarbeit mit proprietären Formaten verbessert. Tabellenkalkulationen im ODS- und XLSX-Format sollen nun deutlich schneller laden. Auch bei DOCX- und RTF-Dokumenten gibt es Fortschritte. Neu hinzugekommen ist ein Importfilter für Microsoft Publisher – ein Format, das LibreOffice bislang nicht öffnen konnte.

Der Release kommt zu einem Zeitpunkt, an dem der Markt für Bürosoftware in Bewegung ist. Erst Anfang Juni brachte IONOS mit EuroOffice eine europäische Alternative zu den US-Cloud-Suiten auf den Markt. Nur wenige Tage vor LibreOffice 4.0 veröffentlichte Collabora Productivity sein Update 26.04, das unter anderem einen optionalen KI-Assistenten für Writer, Calc und Impress sowie einen Dunkelmodus mitbringt.

Kritische Sicherheitslücke nach 16 Jahren geschlossen

Ein schwerwiegender Fehler im Linux-Kernel sorgte diese Woche für Aufsehen. Die als „Januscape“ (CVE-2026-53359) bekannte Sicherheitslücke existierte rund 16 Jahre lang unentdeckt im System. Dabei handelt es sich um eine Use-After-Free-Schwachstelle in der Shadow-MMU von KVM/x86. Angreifer können damit aus einer virtuellen Maschine ausbrechen und auf das Host-System zugreifen – sowohl auf Intel- als auch auf AMD-Hardware.

Der Patch wurde bereits am 19. Juni in den Linux-Mainline-Kernel eingepflegt. Stabile Versionen mit der Korrektur stehen seit dem 4. Juli für die Kernel-Versionen 5.10.260 bis 7.1.3 bereit.

Anzeige

Die Entdeckung langjähriger Sicherheitslücken wie Januscape zeigt, wie verwundbar die IT-Infrastruktur von Unternehmen sein kann. In diesem kostenlosen E-Book erfahren Sie, wie Sie proaktiv aktuelle Cyberbedrohungen abwenden und Ihre Firma langfristig absichern. IT-Sicherheitslücken schließen und Unternehmen schützen

Neben Januscape wurde eine weitere kritische Lücke namens „Bad Epoll“ (CVE-2026-46242) bekannt. Der Fehler im epoll-Subsystem betrifft Linux- und Android-Kernel ab Version 6.4 und könnte Angreifern lokale Root-Rechte verschaffen. Der Exploit soll eine Erfolgsrate von 99 Prozent haben – bislang gibt es jedoch keine Berichte über tatsächliche Angriffe.

OpenSSH 10.4 und Notfall-Patches bei Adobe

Am Montag veröffentlichte das OpenSSH-Team Version 10.4. Das Update schließt mehrere Sicherheitslücken, darunter einen Directory-Escape in scp und eine Use-After-Free-Schwachstelle im Zusammenhang mit Host-Key-Änderungen. Zudem führt die neue Version experimentelle Post-Quanten-Signaturen ein – ein wichtiger Schritt, um die Kommunikation gegen zukünftige Angriffe durch Quantencomputer zu wappnen.

Im Unternehmenssektor mussten gleich mehrere Hersteller reagieren. Adobe veröffentlichte am 6. Juli Notfall-Patches für ColdFusion und Campaign Classic. Die kritischen Schwachstellen erreichen den maximalen CVSS-Wert von 10.0. Besonders brisant: Eine Path-Traversal-Lücke (CVE-2026-48282) wird bereits aktiv ausgenutzt.

Anzeige

Angesichts der rasanten Zunahme von Angriffen auf Unternehmenssoftware wird die Sensibilisierung der Mitarbeiter zum entscheidenden Sicherheitsfaktor. Dieser Gratis-Report enthüllt die psychologischen Schwachstellen und aktuellen Methoden der Cyberkriminellen, damit Sie Ihr Team effektiv schützen können. Anti-Phishing-Paket zur Hacker-Abwehr jetzt kostenlos herunterladen

Auch bei Progress Kemp gibt es Grund zur Sorge. Seit dem 29. Juni verfolgen Sicherheitsexperten aktive Angriffsversuche auf LoadMaster-Geräte. Die OS-Command-Injection-Lücke (CVE-2026-8037) wird von mehreren IP-Adressen attackiert. Bislang wurden jedoch keine erfolgreichen Kompromittierungen bestätigt.

Die bereits länger bekannte FortiBleed-Sicherheitslücke wird indes mit der INC/Lynx-Ransomware-Gruppe in Verbindung gebracht. Die Gruppe soll bereits 74.000 Zugangsdaten von mehr als einem Dutzend Organisationen erbeutet haben.

Cisco bestätigte zudem die aktive Ausnutzung einer SSRF-Schwachstelle (Server-Side Request Forgery) in seinem Unified Communications Manager. Selbst Nischensoftware bleibt nicht verschont: Der Browser Opera GX schloss in Version 130.0.5847.89 eine kritische Lücke, die die unbefugte Installation von Modifikationen ermöglichte.