Anmelden
(Bild: Andrii Yalanskyi/Shutterstock.com)
Die Library async-tar und ihre Forks enthalten eine als TARmageddon benannte Schwachstelle. Der am weitesten verbreitete Fork tokio-tar bekommt keinen Patch.
Die Rust-Library async-tar enthält eine Schwachstelle, die es Angreifern ermöglicht, versteckte Inhalte in tar-Archiven einzuschleusen.
Das auf sichere Laufzeitumgebungen spezialisierte Unternehmen Edera hat den Fehler veröffentlicht und ihm den etwas dramatischen Namen TARmageddon gegeben. Das Unternehmen hatte einen eigenen Fork der Library gepflegt, der inzwischen archiviert ist, aber noch einen Patch erhält.
Die Library async-tar dient dazu, tar-Archive asynchron zu lesen und zu schreiben. Sie ist deutlich performanter als die synchron arbeitende tar-Library für Rust.
Der zugehörige CVE-Eintrag [1] (Common Vulnerabilities and Exposures) CVE-2025-62518 hat den Schweregrad "hoch" mit dem Wert 8,1 von 10.
Auch wenn sich der CVE-Eintrag auf die Library astral-tokio-tar bezieht, betrifft die Schwachstelle die Library async-tar und deren Forks. Der am weitesten verbreitete Fork tokio-tar, mit über 7 Millionen Downloads im Rust-Paketmanager [2] crates.io, wird seit zwei Jahren nicht mehr gepflegt. Damit bleibt er weiter verwundbar.
Wer tokio-tar nutzt, sollte auf den Fork astral-tokio-tar oder eine andere Alternative wie die nicht asynchrone tar-Library wechseln. Der Fork astral-tokio-tar hat mit Version 0.5.6 [3] ein Update erhalten, das die Schwachstelle behebt.
Der Fehler liegt in der Verarbeitung der Header für die tar-Dateien. async-tar verarbeitet sowohl das ustar- als auch das PAX-Format. Wenn eine Datei Header für beide Formate enthält, kommt es zur Inkonsistenz: Der Parser nutzt die im ustar-Header angegebene Größe, während für andere tar-Werkzeuge die PAX-Werte gelten.
Wenn der PAX-Header die richtige Dateigröße angibt, ustar aber mit der Größe 0 angegeben ist, springt der Parser nicht weiter, sondern verarbeitet den Inhalt verschachtelter Archive, die aber andere tar-Werkzeuge nicht als solche erkennen und damit auch nicht untersuchen.
Der Blogbeitrag zu der Schwachstelle [4] zeigt das in folgendem Kurzbeispiel:
FreshRSS Expected by scanner/validator:
Entry 1: "outer-file.txt"
Entry 2: "inner-tar-file.tar" (0 bytes per ustar, but N bytes in PAX)
Entry 3: "next-file.txt"
Actually extracted by tokio-tar:
Entry 1: "outer-file.txt"
Entry 2: "inner-tar-file.tar" (0 bytes per ustar)
Entry 3: "inner-file1.txt" (from inner TAR)
Entry 4: "inner-file2.txt" (from inner TAR)
Entry 5: "next-file.txt" (continues normally)Der Parser von async-tar verarbeitet die verschachtelten Dateien als reguläre Inhalte des Archivs.
Als theoretisches Angriffsszenario führt der Beitrag den Python-Paketmanager uv [5] auf, der ebenso von Astral stammt wie der inzwischen gepatchte Fork astral-tokio-tar. Vor dem Patch der in uv genutzten Library hätten Angreifer versteckten Schadcode über ein verschachteltes tar-Archiv einschmuggeln können.
Edera hat den Bug vor zwei Monaten entdeckt. Anschließend hat das Team einen Patch erstellt und die Maintainer der Libraries informiert. Die Libraries astral-tokio-tar und krata-tokio-tar haben den Patch erhalten, und der Maintainer von async-tar hat den Fehler selbst behoben. Allerdings finden sich im Paketmanager crates.io für async-tar und krata-tokio-tar nach wie vor etwa ein Jahr alte Versionen ohne Patch.
Dass der Bug erst jetzt veröffentlicht wurde, liegt an dem Embargo von 60 Tagen seit Edera den Maintainern den Bug gemeldet hat.
URL dieses Artikels:
https://www.heise.de/-10793899
Links in diesem Artikel:
[1] https://www.cve.org/CVERecord?id=CVE-2025-62518
[2] https://crates.io/crates/tokio-tar
[3] https://crates.io/crates/astral-tokio-tar
[4] https://edera.dev/stories/tarmageddon
[5] https://github.com/astral-sh/uv
[6] mailto:rme@ix.de
Copyright © 2025 Heise Medien
(Bild: voyata/Shutterstock.com)
Turbopack und der Support für den React Compiler sind nun stabil. Das Caching soll durch die neuen Cache Components flexibler werden.
Das Unternehmen Vercel hat Next.js 16 veröffentlicht. Im React-Framework hat sich einiges getan: Der schnellere webpack-Nachfolger Turbopack ist nun im stabilen Status verfügbar und wird als Standard-Bundler verwendet, der React-Compiler-Support ist ebenfalls stabil und es gibt neue Features unter anderem für Caching, Routing und die Anbindung an das Model Context Protocol.
Sowohl für Entwicklungs- als auch für Produktions-Builds hat Turbopack den stabilen Status erreicht. Als Standard-Bundler für alle Apps soll Turbopack bis zu zehnmal schnelleren Fast Refresh und zwei- bis fünfmal schnellere Builds ermöglichen.
Um Turbopack zu nutzen, ist in Next.js 16 keine weitere Konfiguration erforderlich. In Apps mit benutzerdefiniertem webpack-Setup können Developer weiterhin den älteren Bundler verwenden:
next dev --webpack
next build --webpackEine Neuerung, die bereits bei allen internen Vercel-Apps im Einsatz ist, hat Turbopack ebenfalls zu bieten: Als Beta unterstützt der Bundler Dateisystem-Caching während der Entwicklung. Er speichert Compiler-Artefakte zwischen Ausführungen, um deutlich schnellere Compile-Zeiten bei Neustarts zu erreichen – insbesondere in großen Projekten. Das Beta-Feature lässt sich in der Konfiguration aktivieren:
const nextConfig = {
experimental: {
turbopackFileSystemCacheForDev: true,
},
};
export default nextConfig;Anfang des Monats ist der React Compiler 1.0 [3] erschienen, und Next.js 16 bietet dafür integrierten Support – jetzt im Status stable. Der Support ist dennoch standardmäßig deaktiviert, solange das Next.js-Team noch weitere Daten sammelt. Entwicklerinnen und Entwickler, die die Option aktivieren, müssen offenbar mit längeren Kompilierungszeiten in Entwicklung und Builds rechnen, weil der React Compiler Babel verwendet.
Neben der Stabilisierung von Features hat Next.js 16 weitere Neuerungen zu bieten. Dazu zählt Next.js DevTools MCP, eine Integration mit dem Model Context Protocol (MCP) für das KI-gestützte Debugging mitsamt Kontexteinblicken in eine Next.js-Anwendung. Neu sind auch die Cache Components, ein Set von Features, um das Caching in Next.js expliziter und flexibler zu gestalten. Sie bringen die neue "use cache"-Direktive, mit der sich Seiten, Komponenten und Funktionen cachen lassen.
Auf Details zu diesen und weiteren Features in Version 16 geht das Next.js-Team in einem Blogeintrag ein [4].
URL dieses Artikels:
https://www.heise.de/-10794045
Links in diesem Artikel:
[1] https://enterjs.de/?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_enterJS.empfehlung-ho.link.link
[2] https://enterjs.de/tickets.php?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_enterJS.empfehlung-ho.link.link
[3] https://react.dev/blog/2025/10/07/react-compiler-1
[4] https://nextjs.org/blog/next-16
[5] mailto:mai@heise.de
Copyright © 2025 Heise Medien
(Bild: Yurchanka Siarhei / Shutterstock.com)
OpenCQRS bringt Event Sourcing auf die JVM – mit nativer EventSourcingDB-Integration, Spring-Boot-Support und produktionsreifem Tooling.
Wer ein System bauen möchte, das Event Sourcing [1] nutzt – etwa für eine Finanzanwendung mit vollständiger Nachvollziehbarkeit, ein E-Commerce-System mit detaillierter Bestellhistorie oder ein anderes fachlich komplexes System, in dem die Historie zentral für die Business-Logik ist – und dabei auf der JVM arbeitet (Java, Kotlin oder Scala), steht vor einer Herausforderung. Die Recherche zeigt schnell: Es gibt Ansätze und Frameworks, aber nichts passt richtig zusammen.
Die einen setzen auf relationale Datenbanken, die anderen auf Message-Broker. Wieder andere sind generisch gehalten und kümmern sich nicht um die speziellen Anforderungen von Event Sourcing. Am Ende bleibt oft nur der Weg, selbst etwas zusammenzubauen – aus verschiedenen Bibliotheken, unterschiedlichen Konzepten und viel Glue-Code. Und das ist ein Problem.
Event Sourcing hat eigene Anforderungen:
Wer versucht, das mit generischen Tools zu lösen, merkt schnell: Das ist aufwendig. Das Team verbringt unter Umständen deutlich mehr Zeit damit, Infrastruktur zu bauen, als sich um fachliche Probleme zu kümmern. Replay-Mechanismen werden selbst gebaut. Konsistenzprobleme müssen gelöst werden. Tests prüfen die Datenbank statt die Business-Logik. Am Ende wurde zwar theoretisch Event Sourcing gemacht, aber praktisch wurde vor allem viel Zeit investiert, um Probleme zu lösen, die längst gelöst sein sollten.
Das ist nicht nur mühsam, sondern riskant. Falsch implementierte Konsistenzgrenzen führen zu Race Conditions. Fehlerhaftes Event-Replay führt zu inkonsistenten States. Ohne vernünftige Teststrategie bleibt unklar, ob das System überhaupt korrekt funktioniert. Der Preis wird in Zeit, Qualität und Sicherheit bezahlt.
Man könnte sagen: dann eben kein Event Sourcing, sondern klassisch eine relationale Datenbank. Doch das wäre schade. Denn Event Sourcing bietet echte Vorteile: einen kompletten Audit-Trail, die Möglichkeit, den State zu jedem beliebigen Zeitpunkt in der Vergangenheit zu rekonstruieren, neue Projektionen aus historischen Events zu bauen, ohne Daten erneut sammeln zu müssen, und eine klare Trennung zwischen Commands und Queries, was die Architektur sauberer macht.
Deshalb ist die Situation frustrierend. Das Pattern ist gut, die Idee richtig, aber die Umsetzung auf der JVM ist zu kompliziert. Viele Teams sagen: "Der Aufwand ist zu hoch."
Oder sie fangen an, bauen etwas zusammen, und nach sechs Monaten wird es zu aufwendig – und sie verwerfen ihren (eigentlich vielversprechenden) Ansatz wieder.
Dieses Problem wird zunehmend relevanter. Doch warum? Tatsächlich ganz einfach deshalb, weil sich mehrere Dinge gleichzeitig verändert haben, die das Thema immer drängender machen.
Das Problem ist also real und aktuell. Deshalb lohnt es sich zu fragen: Wie würde die perfekte Lösung aussehen?
Wenn Event Sourcing auf der JVM so funktionieren könnte, wie es sein sollte, wie würde das aussehen?
Commands würden einfach als Records definiert werden – normale Java Records oder Kotlin Data Classes. Zum Beispiel: PurchaseBookCommand mit ISBN, Autor, Titel und Seitenzahl. Dieses Command implementiert ein Interface und definiert ein Subject – also, zu welchem Stream es gehört. Zum Beispiel /book/ und die ISBN. Klar und strukturiert.
Ein CommandHandler hätte eine Annotation – vielleicht CommandHandlerConfiguration für die Klasse und CommandHandling für die Methode. Diese Methode erhält das Command als Parameter und einen Event-Publisher. Dort wird die Business-Logik implementiert: validieren, prüfen, entscheiden. Wenn alles passt, wird ein Event publiziert:
publisher.publish(new BookPurchasedEvent(...));
Das Framework kümmert sich um den Rest – um das Speichern, die Konsistenz und alles Weitere.
Das würde sich für alle, die mit Spring arbeiten, sofort vertraut anfühlen. Bekannte Patterns, bekannte Annotationen. Keine neue Programmiersprache, kein neues Paradigma. Einfach, was bereits beherrscht wird, auf Event Sourcing angewendet.
State Rebuilding: Bei Event Sourcing wird nicht der aktuelle State gespeichert, sondern die Events. Um den aktuellen State zu erhalten, müssen die Events abgespielt werden. In der perfekten Welt wäre das einfach. Eine Methode, annotiert mit StateRebuilding, erhält ein Event und gibt den neuen State zurück. Zum Beispiel: BookPurchasedEvent hinein, Book-Record heraus. Das Framework ruft diese Methode für jedes Event auf und baut den State Schritt für Schritt wieder auf. Deklarativ: nicht wie, sondern was.
Projektionen: CQRS bedeutet "Command Query Responsibility Segregation" – also getrennte Modelle für Schreiben und Lesen. Für die Read-Seite werden Projektionen benötigt. In der perfekten Welt wäre das einfach. Eine Component mit einer Methode, annotiert mit EventHandling, erhält einen Namen, zum Beispiel catalog. Diese Methode erhält dann asynchron jedes Event, sobald es geschieht. Eine Datenbank kann aktualisiert, ein Cache befüllt werden. Der Clou: Das läuft asynchron und blockiert nicht die Command-Verarbeitung.
Testing: Event-Sourcing-Systeme zu testen, ist nicht trivial. In der perfekten Welt gäbe es Test-Fixtures. Ein Test, annotiert mit CommandHandlingTest, erhält ein Fixture injected. Mit diesem Fixture lässt sich ausdrucksstark testen: "Given nothing" (keine vorherigen Events), "when" (dieses Command ausführen), "expect successful execution", "expect single event" (das erwartete Event). Fast wie Specification-by-Example. Lesbar und klar.
Konsistenzgrenzen: ein kniffliger Punkt bei Event Sourcing. Wenn zwei Commands gleichzeitig eintreffen, die denselben Stream betreffen, darf es keine Race Conditions geben. In der perfekten Welt ließe sich das feingranular definieren: Innerhalb dieses Scopes wird eine konsistente Sicht benötigt. Das Framework garantiert, dass das eingehalten wird – ohne Locks, ohne optimistische Concurrency Control.
Integration: Die gesamte Infrastruktur soll nicht über Bord geworfen werden müssen. Spring Boot, Monitoring-Tools und Operational Patterns sind bereits vorhanden. In der perfekten Welt würde sich Event Sourcing einfügen. Eine Dependency hinzufügen, Konfiguration ergänzen, fertig. Keine komplizierte Setup-Prozedur, keine zwanzig verschiedenen Module.
Das wäre die perfekte Welt: Commands, Events, State Rebuilding, Projektionen, Testing, Konsistenzgrenzen, Integration. Alles klar, idiomatisch und auf eine Weise, die sich für JVM-Entwicklerinnen und -Entwickler richtig anfühlt.
Doch warum ist es nicht so? Warum gibt es das nicht längst? Was sind die Hindernisse?
All diese Hindernisse sind real. Deshalb ist es nicht trivial, das einfach zu bauen. Deshalb gibt es das nicht längst. Deshalb ist die Landschaft so fragmentiert.
Doch vor zwei Wochen gab es Neuigkeiten: Digital Frontiers [5], ein IT-Beratungsunternehmen auf der Schwäbischen Alb, hat OpenCQRS 1.0 [6] veröffentlicht. OpenCQRS ist ein CQRS- und Event-Sourcing-Framework für die JVM mit nativer Unterstützung für EventSourcingDB. Es macht genau das, was beschrieben wurde: Commands als Records, Annotation-basierte Handler, State Rebuilding, asynchrone Projektionen, Test-Fixtures, dynamische Konsistenzgrenzen, Spring-Boot-Integration.
Das Besondere: OpenCQRS ist nicht einfach ein Framework, das in ein paar Wochen zusammengehackt wurde, sondern es ist das Ergebnis monatelanger intensiver Zusammenarbeit zwischen Digital Frontiers und unserem Team hinter EventSourcingDB. Mit EventSourcingDB wollten wir nicht nur eine Datenbank entwickeln, sondern ein Fundament schaffen, auf dem andere aufbauen können. OpenCQRS ist das erste große Framework, das auf diesem Fundament aufbaut. Mit anderen Worten: Das Ökosystem entsteht.
Für JVM-Teams bedeutet das: Sie müssen Infrastruktur nicht mehr selbst bauen und nicht mehr verschiedene Bibliotheken zusammenstöpseln. Sie können OpenCQRS verwenden – eine Dependency hinzufügen, Konfiguration ergänzen, loslegen. Das senkt die Einstiegshürden massiv.
Es zeigt auch: Event Sourcing ist kein Experiment mehr. Die Tatsache, dass unabhängige Unternehmen wie Digital Frontiers massiv investieren, um produktionsreife Frameworks zu schaffen, zeigt, dass das ein Mainstream-Ansatz wird – für Systeme, die Traceability, Skalierbarkeit und klare Domain-Boundaries brauchen.
Alle Informationen zu OpenCQRS 1.0 finden sich unter www.opencqrs.com [7]. Dort gibt es Dokumentation, Beispielanwendungen und den Quellcode. Wer Event Sourcing und CQRS für die JVM einsetzen möchte, findet dort einen klaren, modernen Weg in eventgetriebene Systeme.
Dieses Release ist ein Meilenstein. Er zeigt, dass die Vision, ein starkes Fundament zu schaffen und ein reiches Ökosystem zu ermöglichen, Realität wird. Entwicklerinnen und Entwickler auf der JVM haben jetzt einen produktionsreifen Weg in die eventbasierte Welt.
In diesem Sinne: Herzlichen Glückwunsch an Digital Frontiers zum Launch von OpenCQRS 1.0!
URL dieses Artikels:
https://www.heise.de/-10778433
Links in diesem Artikel:
[1] https://www.heise.de/blog/Event-Sourcing-Die-bessere-Art-zu-entwickeln-10258295.html
[2] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[3] https://www.heise.de/blog/Event-Sourcing-als-perfekte-Grundlage-fuer-KI-10515847.html
[4] https://www.thenativeweb.io/products/eventsourcingdb
[5] https://www.digitalfrontiers.de/
[6] https://www.opencqrs.com/
[7] https://www.opencqrs.com/
[8] mailto:rme@ix.de
Copyright © 2025 Heise Medien
Polen weigert sich, bei den Ermittlungen zur Sprengung der Nord-Stream 2-Pipeline zu kooperieren
(Bild: Sergei Elagin/Shutterstock.com)
Polens Gericht blockiert Auslieferung eines Nord-Stream-Verdächtigen. Die Regierung begrüßt die Entscheidung. Was steckt dahinter? Ein Gastbeitrag.
Noch vor nicht allzu langer Zeit war der rätselhafte Anschlag auf die Nord-Stream-Pipelines ein gewaltiger Aufreger in der gesamten westlichen Welt.
Da Russland als mutmaßlicher Täter galt, kündigte [1] EU-Kommissionspräsidentin Ursula von der Leyen die "stärkste mögliche Reaktion" an, während ein hochrangiger Berater des ukrainischen Präsidenten Wolodymyr Selenskyj erklärte [2], es handele sich um "einen von Russland geplanten Terroranschlag und eine Aggression gegen die EU".
Wenige Jahre später zeigt sich ein völlig anderes Bild. Nicht nur, dass Russland längst kein Ziel der Strafuntersuchung mehr ist – die meisten westlichen Regierungsbeamten scheinen jedes Interesse daran verloren zu haben, die Täter zu finden und zur Rechenschaft zu ziehen.
Unser Gastautor Branko Marcetic
(Bild: RS [3])Das könnte daran liegen, dass die Hauptuntersuchung, die von den deutschen Behörden geführt wird, offenbar in die obersten Etagen der ukrainischen Regierung [4] führt. Peinlich.
In der vergangenen Woche brachte ein polnisches Gericht das Verfahren nun ernsthaft ins Stocken, indem es die Auslieferung eines ukrainischen Verdächtigen an Deutschland blockierte [5] und dessen Freilassung anordnete.
Der Richter begründete [6] seine Entscheidung damit, dass die dem Verdächtigen vorgeworfene Tat eine rechtmäßige militärische Aktion gewesen sei, "gerechtfertigt, rational und richtig". Polens Premierminister Donald Tusk kommentierte [7]: "Zu Recht. Der Fall ist erledigt."
Eine merkwürdige Reaktion auf einen Angriff in den Wirtschaftszonen Schwedens und Dänemarks, bei dem die Infrastruktur zerstört wurde, die zum Teil europäischen Eigentümern gehörte – die Pipelines verliefen durch die Ostsee, transportierten russisches Erdgas nach Deutschland und waren zu 51 Prozent im Besitz Russlands, der Rest gehörte Konzernen aus Deutschland, Frankreich und den Niederlanden.
Dieser Angriff wurde einst von fast der gesamten westlichen Öffentlichkeit verurteilt. Doch dies ist nur das jüngste Beispiel für das Desinteresse, wenn nicht gar die offene Genugtuung polnischer Offizieller über die Sabotage.
Am bekanntesten ist wohl der inzwischen berüchtigte, später gelöschte Tweet [8] des damaligen Außenministers und heutigen Vizepremiers Radosław Sikorski mit dem Inhalt "Thank you, USA" – abgesetzt nur wenige Stunden [9] nach dem Anschlag im September 2022 und versehen mit einem Foto der Explosion. Doch man könnte noch weiter zurückblicken.
In den von Wikileaks veröffentlichten amerikanischen diplomatischen Depeschen finden sich mehr [10] als [11] ein [12] halbes Dutzend [13] Schreiben [14], die den Widerstand der polnischen Regierung gegen Nord Stream bereits in den 2000er-Jahren belegen – darunter auch Äußerungen Sikorskis selbst [15], der bereits von 2007 bis 2014 Außenminister war.
In einer Depesche vom September 2007 [16] formulierten polnische Beamte die offizielle Haltung wie folgt: "Polen betrachtet das Projekt als gegen unsere Interessen gerichtet und als Widerspruch zum Grundsatz der europäischen Solidarität."
Ein weiteres Schreiben [17] vom November desselben Jahres bezeichnet Polen als "einen der lautstärksten Gegner des Projekts" – man habe es als "modernen Molotow-Ribbentrop-Pakt" gesehen, in Anspielung auf das geheime Abkommen zwischen Moskau und Berlin von 1939, in dem Polen geteilt wurde.
Seitdem bekämpft Polen Nord Stream als konstanten [18] Gegner [19] und betrachtet das Projekt stets als gefährliche politische Initiative, die darauf ausgelegt ist, Polen und die Ukraine auszuschließen und Deutschland und Westeuropa gleichzeitig stärker von russischer Energie abhängig zu machen.
Es überrascht also kaum, dass polnische Politiker, während große Teile Europas [20] empört auf die Zerstörung der Pipeline reagierten [21] und viele [22] Russland [23] die Schuld gaben [24], sein eigenes geopolitisches Faustpfand zerstört zu haben, irgendwo zwischen Genugtuung und Häme schwankten.
"Die Zerstörung von Nord Stream war, soweit es mich betrifft, eine sehr gute Sache", sagte [25] Sikorski ein Jahr später dem New Statesman. "Das Problem mit Nord Stream 2 ist nicht, dass es gesprengt wurde", twitterte [26] Premierminister Tusk Anfang dieses Monats, "das Problem ist, dass es gebaut wurde."
Während Deutschland verständlicherweise bestrebt ist, die Verantwortlichen zu ermitteln – denn die Unterbrechung der russischen Gaslieferungen infolge des Anschlags hat den Energiemarkt erschüttert [27] und den Prozess einer wirtschaftlich verheerenden Deindustrialisierung [28] beschleunigt [29] –, war Polen alles andere als kooperativ.
Als deutsche Ermittler der Spur der Beweise [30] zu ukrainischen Tätern und schließlich nach Polen folgten, stießen sie auf Widerstand [31] ihrer polnischen Nato-Partner. Diese wiesen Berichte über eine mögliche polnische Verstrickung als russische Propaganda ab [32].
Bereits im September des vergangenen Jahres warfen [33] verärgerte deutsche Ermittler der polnischen Regierung intern vor, sie habe die Untersuchung behindert und damit eine "Rechtsbehinderung" begangen.
Ein ehemaliger Chef des deutschen Auslandsgeheimdienstes BND erklärte offen, Polen wolle damit "die eigene Beteiligung am Angriff auf die Pipelines vertuschen", da "Operationen solchen Ausmaßes ohne Zustimmung der politischen Führung der beteiligten Länder undenkbar" seien.
Mit anderen Worten ist die Entscheidung des polnischen Gerichts, den Hauptverdächtigen am vergangenen Freitag freizulassen, nur der vorläufige Höhepunkt einer mutmaßlich systematischen polnischen Kampagne zur Blockade der deutschen Ermittlungen.
Der Richter, der den Fall einstellte, handelte dabei nicht etwa im Widerspruch zur offiziellen Position seiner Regierung, sondern ganz im Einklang mit ihr. Polnische Regierungsvertreter, darunter auch Premier Tusk [34], hatten sich im Vorfeld der Entscheidung wiederholt [35] öffentlich gegen eine Auslieferung ausgesprochen [36].
All das trägt zu den wachsenden [37] Spannungen [38] zwischen den beiden Nato-Verbündeten bei, die das Bündnis erheblich belasten könnten, sollte sich jemals herausstellen, dass Deutschlands eigener Partner an einem im Kern terroristischen Angriff auf Deutschland beteiligt war.
Glücklicherweise macht die Freilassung des ukrainischen Verdächtigen es nun äußerst unwahrscheinlich, dass irgendjemand für den Anschlag zur Verantwortung gezogen wird – oder dass die Welt je erfährt, welche größeren Mächte, falls überhaupt, dahinterstanden und aus welchem Grund. Man könnte sich fragen, ob das vielleicht Absicht ist.
Branko Marcetic ist Redakteur des Jacobin Magazine und Autor von Yesterday’s Man: The Case Against Joe Biden. Seine Arbeiten erschienen u. a. in der Washington Post, The Guardian, In These Times und anderen Medien.
Dieser Text erschien zuerst bei unserem Partnerportal Responsible Statecraft [39] auf Englisch.
URL dieses Artikels:https://www.heise.de/-10794367
Links in diesem Artikel:[1] https://www.theguardian.com/business/2022/sep/27/nord-stream-1-2-pipelines-leak-baltic-sabotage-fears[2] https://www.bbc.com/news/world-europe-63044747[3] https://responsiblestatecraft.org/author/bmarcetic/[4] https://responsiblestatecraft.org/nordstream-sabotage-ukraine/[5] https://www.seattletimes.com/nation-world/world/polish-court-considers-extradition-to-germany-of-suspect-in-nord-stream-pipeline-attack/[6] https://www.bbc.com/news/articles/c8drmzv98jzo[7] https://x.com/donaldtusk/status/1979158877691072697[8] https://www.aa.com.tr/en/economy/former-polish-foreign-minister-thanks-us-for-damaging-nord-stream-pipeline/2696530[9] https://responsiblestatecraft.org/2022/10/28/when-pipeline-politics-go-boom/[10] https://wikileaks.org/plusd/cables/08MOSCOW410_a.html[11] https://wikileaks.org/plusd/cables/08MOSCOW435_a.html[12] https://wikileaks.org/plusd/cables/08WARSAW709_a.html[13] https://wikileaks.org/plusd/cables/08MOSCOW2787_a.html[14] https://wikileaks.org/plusd/cables/07WARSAW1097_a.html[15] https://wikileaks.org/plusd/cables/07MOSCOW5761_a.html[16] https://wikileaks.org/plusd/cables/07WARSAW1975_a.html[17] https://wikileaks.org/plusd/cables/07MOSCOW5585_a.html[18] https://www.president.pl/archives/andrzej-duda/news/president-sums-up-the-visegrad-group-summit,36833[19] https://www.reuters.com/business/energy/poland-says-nord-stream-2-sanctions-waiver-threat-energy-security-2021-05-20/[20] https://www.telepolis.de/thema/Europa[21] https://www.telegraph.co.uk/world-news/2022/09/27/putins-nord-stream-2-sabotage-sends-warning-will-blow-pipes/[22] https://www.bloomberg.com/news/articles/2022-09-30/germany-implies-russia-to-blame-for-damage-to-gas-pipelines[23] https://www.businessinsider.com/sabotage-of-pipelines-were-a-warning-shot-from-putin-experts-2022-10[24] https://www.telegraph.co.uk/world-news/2022/09/27/russian-sabotage-feared-unprecedented-damage-nord-stream-gas/[25] https://www.newstatesman.com/the-weekend-interview/2023/09/radek-sikorski-interview-destruction-nord-stream-poland[26] https://x.com/donaldtusk/status/1975570626682495482[27] https://www.theglobeandmail.com/business/commentary/article-nord-stream-pipeline-germany-russia-ukraine/[28] https://internationalbanker.com/finance/germany-has-an-escalating-deindustrialisation-problem/[29] https://www.forbes.com/sites/jimvinoski/2024/02/29/german-deindustrialization-is-a-wake-up-call-for-us-manufacturers/[30] https://www.wsj.com/world/nord-stream-sabotage-probe-turns-to-clues-inside-poland-4ed20422[31] https://www.wsj.com/world/europe/nord-stream-probe-faces-resistance-from-poland-962aa5f9[32] https://www.rferl.org/a/nord-stream-sabotage-investigation%E2%80%94poland-clues/32453173.html[33] https://www.rferl.org/a/nord-stream-sabotage-investigation%E2%80%94poland-clues/32453173.html[34] https://www.dw.com/en/nord-stream-attack-polish-pm-tusk-against-extradition-to-germany/a-74352399[35] https://www.facebook.com/deutschewellenews/videos/polish-prime-minister-says-those-fighting-russia-should-be-praised/1512660299921941/[36] https://www.ft.com/content/7c43b01f-498b-4ea3-8500-c46c4ac3ff28[37] https://www.washingtonpost.com/world/2025/07/05/germany-poland-border-dispute-asylum/[38] https://www.politico.eu/article/poland-president-berlin-germany-visit-donald-tusk-friedrich-merz/[39] https://responsiblestatecraft.org/ukraine-nord-stream-poland/
Copyright © 2025 Heise Medien
Bild: Shutterstock
Ein Satz, der spaltet: Wie Kanzler Merz über Migration alte Ängste aktiviert – und dabei jene unsichtbar macht, die deutsche Städte sauber und am Laufen halten.
Bundeskanzler Friedrich Merz hat mit seiner Äußerung über ein "Problem im Stadtbild" eine bundesweite Debatte ausgelöst. Bei einer Pressekonferenz in Brandenburg am 14. Oktober sagte Merz im Kontext der AfD-Bekämpfung:
Bei der Migration sind wir sehr weit. Wir haben in dieser Bundesregierung die Zahlen August 24, August 25 im Vergleich um 60 Prozent nach unten gebracht, aber wir haben natürlich immer im Stadtbild noch dieses Problem.
Stuttgarter Zeitung [1]
Als Merz eine Woche später auf einer Pressekonferenz nach der Bedeutung seiner Aussage gefragt wurde, verteidigte er sie vehement. "Ich habe gar nichts zurückzunehmen", sagte er und forderte den fragenden Journalisten auf: "Fragen Sie mal Ihre Töchter, was ich damit gemeint haben könnte. Vermutlich bekommen Sie eine ziemlich klare und deutliche Antwort."
Selbst aus den eigenen Reihen kommt Kritik an Merz' Wortwahl. Der ehemalige Unionskanzlerkandidat Armin Laschet bezeichnete die Stadtbild-Aussage als "zu nebulös" und warnte, dass die AfD daraus Profit ziehen könnte (Spiegel [2]).
"Mit so einem unklaren Begriff macht man den Maßstab an die eigene Politik schwer messbar", sagte Laschet bei einer Veranstaltung in Düsseldorf.
Laschet betonte, dass zum Stadtbild nicht nur Migration gehöre. Dazu zählten auch "von deutschen Süchtigen weggeworfene Drogenspritzen in Parks, Antisemiten, die Hamas-Parolen brüllten oder Rechtsradikale, die durch Straßen zögen".
Die stellvertretende Fraktionsvorsitzende der Grünen im Bundestag, Misbah Khan [3], warf Merz vor, Töne anzuschlagen, "wie man sie sonst von der AfD höre". Sie kritisierte:
Wenn der Kanzler Menschen wie mich als "Stadtbild-Problem" beschreibt, dann trifft mich das ganz persönlich. Ich bin Teil dieser Städte, und ich lasse mir nicht einreden, dass meine Existenz ein Problem ist.
Gökay Sofuoğlu [4], Vorsitzender der Türkischen Gemeinde in Deutschland, wird damit zitiert: "Herr Merz versucht, zu polarisieren, statt darüber zu reden, wie die Gesellschaft zu gestalten ist."
Im Stadtbild gebe es zwar Probleme wie Armut und Obdachlosigkeit, diese hätten aber "weniger mit der Vielfalt der Städte zu tun als mit sozioökonomischen Veränderungen".
Am Dienstagabend versammelten sich nach Angaben der Berliner Polizei rund 2000 Menschen unter dem Motto "Feministische Kundgebung: Wir sind die Töchter" vor der CDU-Zentrale [5] in Berlin. Laut Veranstalter waren es 7.500 Teilnehmer. Das Bündnis "Zusammen gegen Rechts" hatte zu der Demonstration aufgerufen.
Politikwissenschaftlerin Teresa Völker vom Berliner Wissenschaftszentrum warnt vor den Folgen solcher Aussagen.
Es kann dazu führen, dass diejenigen, die ein negatives Empfinden vom Stadtbild haben, sich bestärkt fühlen; aber auch dazu, dass diejenigen, die das anders wahrgenommen haben, auf einmal Ängste oder Vorurteile entwickeln.
Teresa Völker, br.de [6]
Zahlen des Statistischen Bundesamtes zeigen, wie stark Menschen mit Einwanderungsgeschichte deutsche Städte prägen – vor allem in systemrelevanten Bereichen. Laut einer Pressemitteilung vom März 2024 haben 60 Prozent der Erwerbstätigen in Reinigungsberufen eine Einwanderungsgeschichte [7].
Auch in Verkehrs- und Logistikberufen stellen Personen mit Einwanderungsgeschichte mit 38 Prozent einen überdurchschnittlichen Anteil. Bei Fahrerinnen und Fahrern liegt der Anteil bei knapp 40 Prozent.
Eine aktuelle Studie des Instituts für Arbeitsmarkt- und Berufsforschung [8] macht auf positive Entwicklungen bei der Integration aufmerksam.
Die Beschäftigungsquote der 2015 zugezogenen Geflüchteten belief sich demnach 2024 auf 64 Prozent und nähere sich damit dem Durchschnitt der Gesamtbevölkerung von 70 Prozent an, so das IAB. 90 Prozent aller beschäftigten Geflüchteten gingen einer sozialversicherungspflichtigen Beschäftigung nach.
"Angesichts der anfangs ungünstigen Ausgangsbedingungen war ein solcher Annäherungsprozess keineswegs selbstverständlich", erklärte IAB-Forschungsbereichsleiter Herbert Brücker. Bei geflüchteten Männern lag die Beschäftigungsquote mit 76 Prozent sogar vier Prozentpunkte höher als beim Durchschnitt der männlichen Bevölkerung.
Die Studie zeigt jedoch auch große regionale Unterschiede. Fünf bis neun Jahre nach Zuzug lag die mittlere jährliche Beschäftigungsquote in Brandenburg, Mecklenburg-Vorpommern und Sachsen-Anhalt bei 49 Prozent, in Baden-Württemberg bei 66 Prozent. Die Forscher stellten fest, dass "ein hohes Maß an rechtsextremer Mobilisierung in einem negativen Zusammenhang mit der Arbeitsmarktintegration" steht.
Unterstützung erhielt Merz hingegen von Schleswig-Holsteins Ministerpräsident Daniel Günther [9].
Wir haben ein Problem damit, dass Menschen sich nicht sicher fühlen.
Auch Nordrhein-Westfalens Ministerpräsident Hendrik Wüst [10] stellte sich hinter den Kanzler:
Selbstverständlich haben wir Probleme in Stadtbild und Stadtteilen.
Die Kontroverse verdeutlicht die Spannungen innerhalb der Union zwischen einer harten Migrationspolitik zur AfD-Bekämpfung und dem Risiko, durch unklare Formulierungen gesellschaftliche Polarisierung zu verstärken.
Und sie verdeutlicht, dass die "Kehrseite" gerne unterschlagen wird. Zu dieser Diskussion gehört, dass es Menschen mit Einwanderungsgeschichte sind, die einen maßgeblichen Anteil daran haben, dass das Stadtbild deutscher Städte sauber bleibt.
URL dieses Artikels:https://www.heise.de/-10794390
Links in diesem Artikel:[1] https://www.stuttgarter-zeitung.de/inhalt.friedrich-merz-stadtbild-aussage-wortlaut-mhsd.c674d7a6-52bd-4cbf-a68a-12f1700128fc.html[2] https://www.spiegel.de/politik/friedrich-merz-stadtbild-aussage-kritik-von-armin-laschet-den-gruenen-und-der-tuerkischen-gemeinde-a-24844c26-4c57-42b9-b02e-e02877162365[3] https://www.spiegel.de/politik/friedrich-merz-stadtbild-aussage-kritik-von-armin-laschet-den-gruenen-und-der-tuerkischen-gemeinde-a-24844c26-4c57-42b9-b02e-e02877162365[4] https://www.spiegel.de/politik/friedrich-merz-stadtbild-aussage-kritik-von-armin-laschet-den-gruenen-und-der-tuerkischen-gemeinde-a-24844c26-4c57-42b9-b02e-e02877162365[5] https://www.rbb24.de/politik/beitrag/2025/10/berlin-demo-wir-sind-die-toechter-merz-stadtbild-bundeskanzler.html[6] https://www.br.de/nachrichten/deutschland-welt/von-stadtbild-bis-feindbild-merz-und-die-afd,V0GYRtO[7] https://www.destatis.de/DE/Presse/Pressemitteilungen/2024/03/PD24_081_125.html[8] https://iab.de/presseinfo/10-jahre-fluchtmigration-beschaeftigungsquote-von-gefluechteten-naehert-sich-dem-durchschnitt-in-deutschland-an/[9] https://www.ndr.de/nachrichten/schleswig-holstein/stadtbild-debatte-um-merz-so-reagieren-politiker-aus-sh,stadtbild-102.html[10] https://www.zeit.de/news/2025-10/21/wuest-zur-stadtbild-debatte-jeder-spricht-auf-seine-weise
Copyright © 2025 Heise Medien
Die USA und Katar warnen vor Schäden für EU-Handel und Energieversorgung. Ihre Forderung: Rücknahme der Nachhaltigkeitsrichtlinie.
Washington und Doha üben massiven Druck auf Brüssel aus. Die beiden weltweit größten Lieferanten von Flüssiggas fordern die Europäische Union auf, ihre geplanten Vorschriften zur Nachhaltigkeit zu überarbeiten oder ganz fallen zu lassen. Andernfalls drohen erhebliche Folgen für die europäische Energieversorgung und Wirtschaft.
US-Energieminister Chris Wright und sein katarischer Amtskollege Saad Sherida Al-Kaabi haben sich in einem Schreiben an die europäischen Staats- und Regierungschefs gewandt. Darin bezeichnen sie die EU-Richtlinie zur unternehmerischen Sorgfaltspflicht bei Nachhaltigkeit [1] als fundamentale Gefahr für die europäische Wirtschaftskraft.
Die Financial Times (FT) berichtete [2] am Mittwoch über den Brief. Bloomberg berichtete ebenfalls [3] über die koordinierte Aktion.
Besonders kritisch sehen beide Länder die Auswirkungen auf ihre LNG-Exporte nach Europa. Diese Lieferungen seien nach dem russischen Überfall auf die Ukraine 2022 zur zentralen Stütze der europäischen Energieversorgung geworden.
Die Minister betonen, ihre Länder arbeiteten daran, die Gaslieferungen an die EU auszubauen. Die neuen Regelungen würden genau dies gefährden.
Rund ein Sechstel des in der EU verbrauchten Gases stammt aus den USA, vier Prozent kommen aus Katar. Zusammen kontrollieren beide Staaten über 40 Prozent des globalen LNG-Marktes.
Gleichzeitig haben die EU-Energieminister beschlossen, die Gasimporte aus Russland [4] bis Ende 2027 komplett zu beenden. Diese machen derzeit noch 19 Prozent aus.
Die umstrittene Richtlinie soll schrittweise ab 2027 in Kraft treten. Sie verpflichtet Unternehmen, in ihren Lieferketten auf Umweltschutz und Menschenrechte zu achten. Bei Verstößen können die EU-Mitgliedstaaten Geldbußen von bis zu fünf Prozent des weltweiten Jahresumsatzes verhängen.
Zudem müssen betroffene Firmen darlegen, wie sie bis 2050 ihre Emissionen im Einklang mit dem Pariser Klimaabkommen senken wollen. Die Regelung gilt für Nicht-EU-Unternehmen, die in der Union einen Nettoumsatz von mehr als 450 Millionen Euro erzielen.
Die USA sehen in der extraterritorialen Reichweite der Vorschriften ein Problem. Wright und Al-Kaabi verweisen in ihrem Schreiben auf das Handelsabkommen zwischen der EU und US-Präsident Donald Trump vom Juli.
Darin hat sich die EU verpflichtet, bis Ende 2028 amerikanische Energie im Wert von 750 Milliarden Dollar zu kaufen. Die Minister warnen, die Nachhaltigkeitsrichtlinie könne "Handel und Investitionen in fast allen Partnerländern der EU stören".
Katars Energieminister Al-Kaabi hatte vergangene Woche gegenüber Reuters erklärt [5], der staatliche Energiekonzern QatarEnergy könne ohne Änderungen der EU-Regeln nicht mehr in Europa tätig sein.
Eine mögliche Strafe von fünf Prozent des weltweiten Umsatzes sei vollkommen inakzeptabel. Auch in Europa wächst die Kritik: Bundeskanzler Friedrich Merz und Frankreichs Präsident Emmanuel Macron haben sich für eine Aussetzung der Sorgfaltspflichten ausgesprochen.
In ihrem Brief fordern Wright und Al-Kaabi die EU auf, "unverzüglich entschlossene Maßnahmen" zu ergreifen und den Dialog wieder aufzunehmen. Die EU steht vor einer schwierigen Entscheidung zwischen Klimazielen und Energiesicherheit [6].
URL dieses Artikels:https://www.heise.de/-10794396
Links in diesem Artikel:[1] https://www.heise.de/tp/features/EU-knickt-bei-Nachhaltigkeitsregeln-ein-10294823.html[2] https://www.ft.com/content/05ecdd19-a779-4b69-8609-c7f04ca49314[3] https://www.bloomberg.com/news/articles/2025-10-22/us-and-qatar-join-forces-to-oppose-eu-sustainability-directive[4] https://www.heise.de/tp/features/Russland-und-China-rollen-den-Welt-Gasmarkt-auf-10635091.html[5] https://www.reuters.com/business/energy/qatars-energy-minister-warns-eu-law-could-deter-business-europe-2025-10-16/[6] https://www.heise.de/tp/features/Deutschland-steuert-ploetzlich-auf-71-neue-Gaskraftwerke-zu-10635067.html
Copyright © 2025 Heise Medien
(Bild: Andrii Yalanskyi/Shutterstock.com)
Die Library async-tar und ihre Forks enthalten eine als TARmageddon benannte Schwachstelle. Der am weitesten verbreitete Fork tokio-tar bekommt keinen Patch.
Die Rust-Library async-tar enthält eine Schwachstelle, die es Angreifern ermöglicht, versteckte Inhalte in tar-Archiven einzuschleusen.
Das auf sichere Laufzeitumgebungen spezialisierte Unternehmen Edera hat den Fehler veröffentlicht und ihm den etwas dramatischen Namen TARmageddon gegeben. Das Unternehmen hatte einen eigenen Fork der Library gepflegt, der inzwischen archiviert ist, aber noch einen Patch erhält.
Die Library async-tar dient dazu, tar-Archive asynchron zu lesen und zu schreiben. Sie ist deutlich performanter als die synchron arbeitende tar-Library für Rust.
Der zugehörige CVE-Eintrag [1] (Common Vulnerabilities and Exposures) CVE-2025-62518 hat den Schweregrad "hoch" mit dem Wert 8,1 von 10.
Auch wenn sich der CVE-Eintrag auf die Library astral-tokio-tar bezieht, betrifft die Schwachstelle die Library async-tar und deren Forks. Der am weitesten verbreitete Fork tokio-tar, mit über 7 Millionen Downloads im Rust-Paketmanager [2] crates.io, wird seit zwei Jahren nicht mehr gepflegt. Damit bleibt er weiter verwundbar.
Wer tokio-tar nutzt, sollte auf den Fork astral-tokio-tar oder eine andere Alternative wie die nicht asynchrone tar-Library wechseln. Der Fork astral-tokio-tar hat mit Version 0.5.6 [3] ein Update erhalten, das die Schwachstelle behebt.
Der Fehler liegt in der Verarbeitung der Header für die tar-Dateien. async-tar verarbeitet sowohl das ustar- als auch das PAX-Format. Wenn eine Datei Header für beide Formate enthält, kommt es zur Inkonsistenz: Der Parser nutzt die im ustar-Header angegebene Größe, während für andere tar-Werkzeuge die PAX-Werte gelten.
Wenn der PAX-Header die richtige Dateigröße angibt, ustar aber mit der Größe 0 angegeben ist, springt der Parser nicht weiter, sondern verarbeitet den Inhalt verschachtelter Archive, die aber andere tar-Werkzeuge nicht als solche erkennen und damit auch nicht untersuchen.
Der Blogbeitrag zu der Schwachstelle [4] zeigt das in folgendem Kurzbeispiel:
Expected by scanner/validator:
Entry 1: "outer-file.txt"
Entry 2: "inner-tar-file.tar" (0 bytes per ustar, but N bytes in PAX)
Entry 3: "next-file.txt"
Actually extracted by tokio-tar:
Entry 1: "outer-file.txt"
Entry 2: "inner-tar-file.tar" (0 bytes per ustar)
Entry 3: "inner-file1.txt" (from inner TAR)
Entry 4: "inner-file2.txt" (from inner TAR)
Entry 5: "next-file.txt" (continues normally)Der Parser von async-tar verarbeitet die verschachtelten Dateien als reguläre Inhalte des Archivs.
Als theoretisches Angriffsszenario führt der Beitrag den Python-Pakemanager uv [5] auf, der ebenso von Astral stammt wie der inzwischen gepatchte Fork astral-tokio-tar. Vor dem Patch der in uv genutzten Library hätten Angreifer versteckten Schadcode über ein verschachteltes tar-Archiv einschmuggeln können.
Edera hat den Bug vor zwei Monaten entdeckt. Anschließend hat das Team einen Patch erstellt und die Maintainer der Libraries informiert. Die Libraries astral-tokio-tar und krata-tokio-tar haben den Patch erhalten, und der Maintainer von async-tar hat den Fehler selbst behoben. Allerdings finden sich im Paketmanager crates.io für async-tar und krata-tokio-tar nach wie vor etwa ein Jahr alte Versionen ohne Patch.
Dass der Bug erst jetzt veröffentlicht wurde, liegt an dem Embargo von 60 Tagen seit Edera den Maintainern den Bug gemeldet hat.
URL dieses Artikels:
https://www.heise.de/-10793899
Links in diesem Artikel:
[1] https://www.cve.org/CVERecord?id=CVE-2025-62518
[2] https://crates.io/crates/tokio-tar
[3] https://crates.io/crates/astral-tokio-tar
[4] https://edera.dev/stories/tarmageddon
[5] https://github.com/astral-sh/uv
[6] mailto:rme@ix.de
Copyright © 2025 Heise Medien
(Bild: Black_Kira/Shutterstock.com)
Angreifer können bestimmte Firewalls von Zyxel attackieren. Angriffe sind aber nicht ohne Weiteres möglich.
Die Firewall-Serien ATP, USG FLEX und USG FLEX 50(W)/USG20(W)-VPN sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen. Um Instanzen abzusichern, sollten Admins das verfügbare Sicherheitsupdate installieren.
Beide Schwachstellen (CVE-2025-8078, CVE-2025-9133) sind mit dem Bedrohungsgrad "hoch" eingestuft. Im ersten Fall müssen Angreifer bereits über Administratorrechte verfügen, um eigene Befehle auf Systemebene ausführen zu können. In dieser Position steht ihnen aber ohnehin schon Tür und Tor offen.
Im zweiten Fall müssen Angreifer den ersten Abschnitt der Einrichtung zur Zwei-Faktor-Authentifizierung abgeschlossen haben. Ist das gegeben, können sie Systemkonfigurationen einsehen und herunterladen.
Auch wenn es bislang keine Berichte zu Attacken gibt, sollten Admins das Sicherheitsupdate ZDL V5.41 zeitnah installieren. In einer Warnmeldung geben die Entwickler an [1], dass die ZDL-Ausgaben V4.32 bis einschließlich V5.40 von den Sicherheitslücken betroffen sind.
Zuletzt haben die Entwickler im April dieses Jahres Sicherheitsupdates für Firewalls veröffentlicht [2].
URL dieses Artikels:
https://www.heise.de/-10794033
Links in diesem Artikel:
[1] https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-and-missing-authorization-vulnerabilities-in-zld-firewalls-10-21-2025
[2] https://www.heise.de/news/Zyxel-Firewall-Angreifer-koennen-Admin-Tokens-stehlen-10359376.html
[3] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:des@heise.de
Copyright © 2025 Heise Medien
(Bild: heise online / dmk)
"Have I Been Pwned" sammelt veröffentlichte Zugangsdaten. Nun kamen 183 Millionen von Infostealern geklaute Konten hinzu.
Das Have-I-Been-Pwned-Projekt (HIBP) ist um 183 Millionen entwendete Zugänge reicher. Betreiber Troy Hunt hat von Infostealern ausgeleitete Zugangsdaten, die von der Firma Synthient gesammelt wurden, zur ohnehin schon riesigen Datensammlung hinzugefügt.
Bei Infostealern handelt es sich um Trojaner, die auf dem Rechner oder Smartphone von Opfern installiert wurden – oftmals landen die dort, weil die Besitzer etwa vermeintlich gecrackte Software installiert haben oder weil durch Sicherheitslücken in der genutzten Software eingeschleuste Malware sich einnisten konnte. Die schneiden dort mit, wenn sich die Opfer in Dienste einloggen, und schicken die Zugangsdaten an ihre Command-and-Control-Server. Oftmals landen die Daten dann in offen zugänglichen Cloudspeichern oder etwa in Telegram-Kanälen, wo sie andere Kriminelle sammeln und neu zusammenstellen sowie mit Daten aus älteren Lecks abgleichen und vermengen.
Solche Daten hat Synthient gesammelt. Have-I-Been-Pwned-Betreiber Troy Hunt hat nun die Synthient-Datensammlung aus dem April dieses Jahres erhalten. Nach dem Aufräumen – "Normalisieren" und Deduplizeren nennt Hunt explizit in der Ankündigung [1] – blieben aus den Milliarden Einträgen noch 183 Millionen einzigartige Zugänge übrig. Die umfassen die Webseite, auf der sie eingegeben wurden, sowie Nutzernamen und Passwort.
Der Datensatz ist nun über die HIBP-Webseite [2] durchsuchbar. Als Suchkriterien sind E-Mail-Adressen, Passwörter, Domains und die Website, auf der Zugangsdaten eingegeben wurden, verfügbar.
Bis Anfang dieses Jahres hatte das HIBP-Projekt lediglich Daten aus bekannten Datenlecks oder Einbrüchen von Organisationen in der Datenbank gesammelt. Seitdem hat Troy Hunt jedoch begonnen, auch die öffentlich aufgetauchten, von Infostealern entwendeten Daten [3] aufzubereiten und zu ergänzen.
Die direkte Adresssuche soll solche Infostealer-Daten jedoch nicht zurückliefern. Da auch die Adressen dazugehören, wo die Zugangsdaten eingegeben wurden, könnten sonst die Privatsphäre der Opfer kompromittiert werden. Hunt nannte dazu als Beispiel, dass bei den Infostealer-Daten Domains mit Wörtern wie "Porn", "Adult" oder "xxx" enthalten sind. Die Informationen können Interessierte sich jedoch an ihre E-Mail-Adresse senden lassen. Dafür ist eine Anmeldung am "Notify Me"-Dienst von HIBP [4] nötig.
URL dieses Artikels:
https://www.heise.de/-10793974
Links in diesem Artikel:
[1] https://haveibeenpwned.com/Breach/SynthientStealerLogThreatData
[2] https://haveibeenpwned.com/
[3] https://www.heise.de/news/Have-I-Been-Pwned-Projekt-nimmt-jetzt-auch-Infostealer-Daten-auf-10242319.html
[4] https://haveibeenpwned.com/NotifyMe
[5] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:dmk@heise.de
Copyright © 2025 Heise Medien
Wir haben gezeigt, wie eine Installation von Windows 10 unter Linux in einer VM weiterleben kann. Heute antworten wir auf Fragen, die uns dazu erreicht haben.
Zum Patchday im Oktober liefert Microsoft letztmalig Sicherheitsupdates für Windows 10. Wer weiter welche beziehen möchte, muss aktiv werden und sich mindestens mit einem Microsoft-Konto anmelden. Vielleicht ist das doch ein Anlass, die Windows-10-Installation in einer virtuellen Maschine unter Linux in Rente zu schicken?
Wir antworten auf Fragen, die uns zu unserer Praxisanleitung "So lebt Ihre Windows-Installation unter Linux weiter" [1] [1] erreicht haben.
Bei dem Versuch, mein Windows-10-Abbild unter Linux ins QCow2-Format zu konvertieren, scheitere ich mit der Fehlermeldung "unknown driver 'VHDX'". Fehlt mir dort noch ein Treiber oder Paket?
URL dieses Artikels:
https://www.heise.de/-10765022
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/So-lebt-Ihre-Windows-Installation-unter-Linux-weiter-10501652.html
[2] https://www.heise.de/ratgeber/FAQ-zu-Windows-10-als-VM-unter-Linux-10765022.html
[3] https://www.heise.de/ratgeber/Linux-Bootloader-Grub-fuer-Parallelinstallationen-anpassen-10712384.html
[4] https://www.heise.de/ratgeber/Vorhandene-Windows-10-Installationen-unter-Linux-virtualisieren-10501662.html
[5] https://www.heise.de/ratgeber/Alternativen-fuer-Microsoft-muede-Windows-Nutzer-10454820.html
[6] https://www.heise.de/ratgeber/macOS-statt-Windows-So-koennen-Sie-mit-macOS-loslegen-10498995.html
[7] https://www.heise.de/ratgeber/Wie-Sie-von-Windows-auf-ChromeOS-umsteigen-10499029.html
[8] https://www.heise.de/ratgeber/Windows-Alternative-Linux-Mint-als-pragmatische-Distribution-fuer-Einsteiger-10499041.html
[9] https://www.heise.de/ratgeber/So-lebt-Ihre-Windows-Installation-unter-Linux-weiter-10501652.html
[10] https://www.heise.de/ratgeber/Linux-auf-Notebook-Exoten-installieren-10310643.html
[11] https://www.heise.de/hintergrund/Umstieg-auf-Open-Source-fuer-mehr-Souveraenitaet-10447358.html
[12] https://www.heise.de/tests/Debian-GNU-Linux-13-Runderneuerte-Distribution-mit-gewohnter-Basis-10513856.html
Copyright © 2025 Heise Medien
Weihnachten rückt mit großen Schritten näher. Das Warten auf das Fest der Feste lässt sich mit einem Adventskalender versüßen: Neben klassischen Varianten mit Schokolade erfreuen sich Kalender für Erwachsene wachsender Beliebtheit. Ob Parfüm, Tee, Rätsel oder Klemmbausteine – für nahezu jedes Interesse gibt es den passenden Adventskalender. Auch Hand- und Heimwerker kommen auf ihre Kosten: Marken wie Bosch, Wera und Hazet bieten Werkzeug-Adventskalender an, die täglich neue Überraschungen bereithalten. Derzeit sind die Kalender mit Werkzeugen bei Amazon besonders günstig erhältlich - teilweise sogar zum aktuellen Bestpreis am Markt.
Der 41-teilige Bosch-Adventskalender 2025 gehört zu den beliebtesten Werkzeug-Adventskalendern und ist aktuell Bestseller Nummer 1 unter den Werkzeugsets. Er ist derzeit 12 Cent über dem Marktbestpreis von 38,49 Euro im Angebot erhältlich.
Der Kalender enthält laut Angaben hochwertiges Handwerkzeug für den täglichen Einsatz im Haushalt oder in der Werkstatt. Hinter den 24 Türchen verbergen sich eine Bügelsäge mit 150 Millimeter Blatt, ein Bit-Schraubendreher mit T-Griff, eine Kombizange, ein Tieflochmarker, ein zehnteiliges Innensechskantschlüssel-Set, 18 farbcodierte Schraubendreherbits, zwei Bügelsägeblätter sowie sechs mehrfarbige Minen. Die beiliegende Aufbewahrungstasche ermöglicht Ordnung und einen sicheren Transport.
Reklame
Bosch 41-tlg. Adventskalender 2025 (Set mit Bügelsäge, Bit-Schraubendreher mit T-Griff, Schraubendreherbits)
Zum Bosch-AdventskalenderDer Wera-Adventskalender 2025 umfasst 28 Teile und bietet laut Hersteller einen einzigartigen Mix an Schraubwerkzeugen für 18 unterschiedliche Schraubprofile. Er richtet sich an Anwender aus den Bereichen VDE, Werkstatt und Feinmechanik.
Zum Lieferumfang gehören zwei Aufbewahrungsracks, die sich sowohl aufstellen als auch an der Wand befestigen lassen. Praktisch sollen die Wera-Schraubkrallen sein, die Schrauben sicher auf dem Werkzeug halten. Der Kalender kombiniert laut Hersteller eine hochwertige Verarbeitung mit einem ebenso funktionalen Design und ist auch in diesem Jahr wieder einer der beliebtesten Werkzeug-Adventskalender auf Amazon.
Reklame
Wera Adventskalender 2025, 28-teilig inkl. einzigartigem Mix an Schraubwerkzeugen
Zum Wera-AdventskalenderDer Hazet Adventskalender 2025 bietet 24 Werkzeuge und Zubehörteile, darunter einen 1/4-Zoll-Akkuschrauber, 18 Bits, einen Adapter, ein USB-C-Kabel, einen Schlüsselanhänger, einen Flaschenöffner und eine robuste Werkzeugtasche.
Der Akkuschrauber verfügt laut Angaben über drei Leistungsstufen, Rechts- und Linkslauf, LED-Licht, Magnetaufnahme und einen ergonomischen Softgrip-Griff. Die hochwertigen Bits mit 25 Millimetern Länge, darunter TORX-, PH-, PZ-, Schlitz- und Innensechskant-Profile, sollen präzises Arbeiten in der Werkstatt ermöglichen. Der Adventskalender ist laut Geizhals aktuell zum Bestpreis auf Amazon erhältlich.
Reklame
HAZET Adventskalender 2025, 24-teilig, mit 1/4 Zoll Akku-Schrauber, 18 Bits, USB-C Kabel
Zum Hazet-AdventskalenderDieser Artikel enthält sogenannte Affiliate-Links. Bei einem Kauf der Produkte über diese Links erhält Golem.de eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Kia hat für Käufer seines E-Autos EV4 ein kurioses Werbegeschenk vorgestellt: einen Auto-Lufterfrischer, der nach Motoröl und Benzin duften soll, wie das US-Onlinemagazin The Drive berichtete .
Der südkoreanische Autohersteller arbeitete mit einem finnischen Dufthersteller zusammen , um einen Geruch zu kreieren, der ehemaligen Besitzern von Benzinfahrzeugen die Umstellung auf Elektromobilität erleichtern soll.
Der Lufterfrischer soll laut Bericht einen " schweren Motorölton mit einer an Benzin erinnernden Kopfnote " haben und an den Geruch einer Autowerkstatt erinnern.
Ford brachte 2021 zur Europaeinführung des Mustang Mach-E GT einen ähnlichen Benzinduft auf den Markt. Das Unternehmen verwies auf Umfragedaten, wonach rund 70 Prozent der Fahrer den Geruch von Benzin in gewissem Maße vermissten.
Kia bringt mit dem EV4 ein kompaktes Elektroauto speziell für den europäischen Markt. Die Schrägheckversion wird ausschließlich in Europa angeboten und im slowakischen Kia-Werk produziert.
Mit Abmessungen von 4.450 x 1.485 x 1.860 mm positioniert sich der Stromer als Pendant zum Ceed und tritt gegen Modelle wie VW ID.3, Opel Astra Electric oder Cupra Born an. Angetrieben von einem 150 kW (204 PS) starken Motor erreicht der 1.910 kg schwere EV4 in 7,8 Sekunden Tempo 100, die Höchstgeschwindigkeit liegt bei 170 km/h. Der Radstand von 2.820 mm bietet reichlich Platz auch auf den Rücksitzen, der Kofferraum fasst 435 bis 1.415 Liter.
Im Innenraum gibt es drei Displays – je einen 12,3-Zoll-Bildschirm für Instrumente und Infotainment sowie ein 5,3-Zoll-Display für die Klimasteuerung.
OpenAI hat den auf der Chromium Engine basierenden Webbrowser ChatGPT Atlas veröffentlicht. Das Unternehmen integriert damit seine KI direkt in die Browserumgebung. Der Download ist für MacOS-Nutzer verfügbar.
Atlas richtet sich an Nutzer aller ChatGPT-Versionen, von der kostenlosen Variante bis zu den kostenpflichtigen Abonnements. Versionen für Windows, iOS und Android befinden sich nach Unternehmensangaben in der Entwicklung, ein Veröffentlichungstermin steht noch nicht fest.
Der Browser bietet Standardfunktionen wie Tabs, Lesezeichen und einen Inkognitomodus. Die Besonderheit liegt in der ChatGPT-Integration: Nutzer können Anfragen an die KI stellen, ohne zwischen verschiedenen Anwendungen zu wechseln. Eine Seitenleiste ermöglicht den Zugriff auf den Chatbot.
Atlas verarbeitet Informationen aus dem Browserverlauf und geöffneten Seiten, um kontextbezogene Antworten zu generieren. Die Anwendung merkt sich Details aus den Webseiten und soll Nutzer bei wiederkehrenden Aufgaben unterstützen. Anwender können über natürliche Spracheingaben Befehle erteilen, etwa zum Aufräumen von Tabs oder erneuten Öffnen zuvor besuchter Seiten.
OpenAI bietet für Plus-, Pro- und Business-Abonnenten eine Vorschau auf den künftigen Agentenmodus des Browsers. In diesem Modus soll die KI eigenständig Aktionen ausführen, beispielsweise bei Recherchen oder Buchungsvorgängen. Die Funktion befindet sich noch in der Erprobungsphase und funktioniert laut Hersteller deshalb nicht in allen Situationen zuverlässig.
Das Unternehmen implementierte nach eigenen Angaben Sicherheitsvorkehrungen. Nutzer behalten die Kontrolle darüber, auf welche Daten Atlas zugreifen kann. Der Browserverlauf lässt sich löschen, im Inkognitomodus werden keine Informationen gespeichert. Die aufgerufenen Inhalte würden standardmäßig nicht zum Training der KI-Modelle verwendet, teilte OpenAI mit.
Atlas soll verschiedene Anwendungsbereiche abdecken. Dazu gehören Recherchen mit automatischen Zusammenfassungen von Webinhalten, Onlineeinkäufe mit Vergleichsfunktionen und Aufgaben wie das Verfassen von Web-E-Mails.
Die Browser-Funktion Memories speichert Informationen aus dem Surfverhalten. Diese Funktion ist optional und kann in den Einstellungen verwaltet werden. Bei aktivierter Kindersicherung für ChatGPT gelten die Einstellungen auch in Atlas. Eltern können zusätzlich die Speicherfunktion und den Agentenmodus deaktivieren.
Fidji Simo, CEO of Applications bei OpenAI, bezeichnete Atlas als weiteren Schritt in Richtung eines umfassenden digitalen Assistenten. Das Tool ist mit bestehenden ChatGPT-Funktionen kompatibel, einschließlich der Bildgenerierung.
Das neue Kopfband – hier an der Vision Pro M5 – hat einen zweiten Bügel.
(Bild: heise medien)
Mit M5-Speed und gewichtigem Kopfband: Unser Test klärt, ob die Neuerungen der Vision Pro M5 einen handfesten Unterschied machen.
Es ist still geworden um die Vision Pro, die Apple vor über zwei Jahren noch mit so viel Tamtam vorgestellt hatte. Jetzt sorgt die erste Hardware-Revision für ein Lebenszeichen: Der nagelneue M5-Chip ersetzt den angestaubten M2 und katapultiert das kostspielige VR-Headset auf den aktuellen Stand bei Prozessor- und Grafikleistung, wie ihn auch MacBook Pro und iPad Pro bieten.
Am Design oder überflüssig scheinenden Elementen wie dem Außendisplay mit den gruseligen digitalen Augen hat Apple allerdings nichts geändert. Auch bei dem für die Sensorik verantwortlichen R1-Chip, den beiden hochaufgelösten Mikro-OLEDs, dem Kamerasystem, dem Arbeitsspeicher in Höhe von 16 GByte und dem Funkchip gibt es keinerlei Neuerungen zu verzeichnen. So bleibt die Vision Pro auf WLAN-6-Stand stecken und kann das aktuell meist komplett unbeeinträchtigte 6-GHz-Band von WLAN 6E und WLAN 7 nicht nutzen.
Da ist nur ehrlich, dass das Gerät nicht als "Vision Pro 2" sondern schlicht als "Vision Pro (M5)" firmiert. Den Europreis hat Apple in einer Wechselkursanpassung an den schwachen Dollar unter die 4000-Euro-Marke gedrückt, los geht es jetzt ab 3700 Euro.
URL dieses Artikels:
https://www.heise.de/-10793698
Links in diesem Artikel:
[1] https://www.heise.de/tests/iPhone-17-17-Pro-17-Pro-Max-und-Air-im-Test-10663319.html
[2] https://www.heise.de/ratgeber/iOS-und-iPadOS-26-in-Action-23-Tipps-fuer-die-neuen-Apple-Systeme-10646549.html
[3] https://www.heise.de/ratgeber/iPadOS-26-So-nutzen-Sie-das-neue-Fenstersystem-auf-Apple-Tablet-10646557.html
[4] https://www.heise.de/ratgeber/macOS-26-Tahoe-auszreizen-20-Tipps-fuer-Apples-neues-System-10646553.html
[5] https://www.heise.de/ratgeber/Apple-Apps-in-iOS-26-und-macOS-26-Die-besten-Tipps-zu-den-neuen-Systemen-10652679.html
[6] https://www.heise.de/ratgeber/Apple-Intelligence-Tipps-zum-Umgang-mit-KI-in-iOS-26-macOS-26-und-Co-10652685.html
[7] https://www.heise.de/ratgeber/watchOS-26-Das-ist-neu-auf-Apples-Uhren-und-so-setzen-Sie-es-ein-10653259.html
[8] https://www.heise.de/ratgeber/tvOS-26-Viele-Tipps-zu-Apples-neuem-Apple-TV-Betriebssystem-10653255.html
[9] https://www.heise.de/ratgeber/15-Tipps-Das-neue-Apple-Mail-richtig-nutzen-10383422.html
Copyright © 2025 Heise Medien
Das neue MacBook Pro M5: Schneller Chip – doch was sonst noch?
(Bild: heise medien)
Der neue M5-Chip zieht im MacBook Pro 14 Zoll ein und verspricht mehr Leistung, insbesondere für die SSD und KI-Berechnungen. Wie viel besser ist es wirklich?
Auf eine Pro- und Max-Ausführung müssen wir noch warten, aber Apple hat den neuen M5-Chip in diesem Jahr nicht nur dem iPad Pro, sondern gleichzeitig auch der Vision Pro und dem MacBook Pro mit 14-Zoll-Display spendiert. Wie schon im Jahr zuvor gibt es das MacBook Pro neben Silber in der Farbe Space Schwarz. Äußerlich hat sich nichts getan, als Schnittstellen finden sich 3 x USB-C mit Thunderbolt 4, eine Buchse für iPhone-Headsets oder (auch hochohmige Kopfhörer) und MagSafe zum Laden.
Auf der rechten Seite befindet sich ein SD-Kartenslot und ein HDMI-Anschluss, die beide dem MacBook Air fehlen. Uns stand ein MacBook Pro 14 Zoll M5 mit je 10 CPU- und GPU-Cores, 32 GByte RAM, 1 TByte SSD sowie Nanotextur-Display zum Test zur Verfügung, das nach Liste 2739 Euro kostet.
Das unveränderte Display soll mit HDR-Inhalten bis zu 1600 Nits (= Candela pro Quadratmeter) hell leuchten. Wir konnten mit unserem kalibrierten Leuchtdichtemessgerät punktuell 1440 Nits messen. Im Normalbetrieb in Innenräumen erreichte das Panel um 490 Nits. Laut Apple sollen draußen im Sonnenlicht auch mit SDR-Inhalten bis zu 1000 Nits möglich sein. Wir konnten beim trüben Herbstwetter nur 630 Nits herauskitzeln.
URL dieses Artikels:
https://www.heise.de/-10793514
Copyright © 2025 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
(Bild: miss.cabul / Shutterstock.com)
Europa und Ukraine arbeiten an 12-Punkte-Plan für einen Frieden. Und das geplante Gipfeltreffen in Budapest fällt vorerst aus.
Das für die kommenden Wochen angekündigte Gipfeltreffen zwischen US-Präsident Donald Trump und dem russischen Präsidenten Wladimir Putin wurde vorerst abgesagt.
"Es gibt keine Pläne für ein Treffen zwischen Präsident Trump und Präsident Putin in naher Zukunft", erklärte ein hochrangiger Beamter [1] des Weißen Hauses am Dienstag gegenüber der Financial Times (FT). Reuters berichtete ebenfalls [2] darüber.
Parallel dazu arbeiten europäische Staaten gemeinsam mit der Ukraine an einem umfassenden Friedensplan. Dieser sieht eine Beendigung des Krieges entlang der aktuellen Frontlinien vor – eine Position, die Moskau bislang strikt ablehnt.
Trump hatte vergangene Woche nach einem Telefonat mit Putin ein Treffen in der ungarischen Hauptstadt Budapest angekündigt. Doch die russische Seite lehnte einen sofortigen Waffenstillstand entlang der derzeitigen Frontlinien, den die US-Amerikaner als wichtigen Punkt für die Verhandlungen ansehen, ab.
In einem vertraulichen Kommuniqué, das Moskau am Wochenende an die USA schickte, bekräftigte Russland seine Forderung nach vollständiger Kontrolle über die Region Donbass im Osten der Ukraine, wie Reuters unter Berufung auf US-Beamte berichtete.
Russland kontrolliert derzeit die gesamte Provinz Luhansk und etwa 75 Prozent der benachbarten Provinz Donezk, die zusammen den Donbass [3] bilden.
Der russische Außenminister Sergej Lawrow erklärte laut Bericht, ein sofortiger Waffenstillstand widerspreche den in Alaska erzielten Vereinbarungen. Im August hatten sich Trump und Putin in Anchorage getroffen, ohne jedoch einen Durchbruch zu erzielen.
US-Außenminister Marco Rubio und sein russischer Amtskollege Lawrow führten am Montag ein Telefongespräch. "Außenminister Rubio und Außenminister Lawrow hatten ein produktives Telefongespräch. Daher ist ein zusätzliches persönliches Treffen zwischen dem Außenminister und dem Außenminister nicht erforderlich", teilte das Weiße Haus mit. Ein für Donnerstag in Budapest geplantes Vorbereitungstreffen wurde verschoben.
Kreml-Sprecher Dmitri Peskow versuchte, die Erwartungen zu dämpfen:
Wir haben eine Vereinbarung zwischen den Präsidenten, aber wir können nichts verschieben, was noch nicht endgültig festgelegt ist. Weder Präsident Trump noch Präsident Putin haben genaue Termine genannt.
Er betonte, es seien "ernsthafte Vorbereitungen" erforderlich, die einige Zeit in Anspruch nehmen könnten.
Trump hatte nach seinem Treffen mit dem ukrainischen Präsidenten Wolodymyr Selenskyj am Freitag im Weißen Haus öffentlich gefordert, die Kämpfe sofort einzustellen. "Es ist genug Blut vergossen worden, und die Grenzen wurden durch Krieg und Mut definiert", schrieb er auf Truth Social. Beide Seiten sollten "jetzt sofort an der Frontlinie innehalten, nach Hause gehen, aufhören, Menschen zu töten, und damit Schluss machen".
Das Treffen zwischen Trump und Selenskyj verlief den Berichten zufolge angespannt und artete zeitweise in einen "Schreiwettbewerb" aus [4], bei dem der US-Präsident "die ganze Zeit fluchte", wie die Financial Times berichtete.
Trump drängte Selenskyj nachdrücklich, schnell einem Abkommen zuzustimmen, und betonte die Stärken Russlands. Anwesende US-Beamte brachten die Möglichkeit ins Spiel, dass die Ukraine territoriale Zugeständnisse machen könnte.
Selenskyj stellte das Treffen dennoch als Erfolg dar, da Trump öffentlich einen Waffenstillstand an den derzeitigen Frontlinien unterstützte. "Wenn wir diesen Krieg beenden und dringend auf diplomatischem Wege Friedensverhandlungen aufnehmen wollen, müssen wir bleiben, wo wir sind, und Putin nichts zusätzlich geben", sagte Selenskyj in einem Interview mit NBC.
Europäische Staats- und Regierungschefs, darunter aus Großbritannien, Frankreich, Deutschland und Italien, erklärten am Dienstag in einer gemeinsamen Stellungnahme, sie "unterstützen nachdrücklich die Position von Präsident Trump, dass die Kämpfe sofort eingestellt werden sollten und die derzeitige Kontaktlinie der Ausgangspunkt für Verhandlungen sein sollte". Die Erklärung wurde auch von EU-Kommissionspräsidentin Ursula von der Leyen unterzeichnet.
Zwei hochrangige europäische Diplomaten sagten gegenüber Reuters, die Verschiebung des Treffens zwischen Rubio und Lawrow sei ein Zeichen dafür, dass die Amerikaner nur ungern ein Treffen zwischen Trump und Putin durchführen würden, wenn Moskau nicht von seinen Forderungen abrücke.
"Ich glaube, die Russen wollten zu viel, und den Amerikanern wurde klar, dass es in Budapest kein Abkommen für Trump geben wird", sagte einer von ihnen.
Laut Bloomberg arbeiten europäische Staaten [5] gemeinsam mit der Ukraine an einem umfassenden 12-Punkte-Plan zur Beendigung des Krieges. Sobald Russland wie die Ukraine einem Waffenstillstand zustimmt und beide Seiten sich verpflichten, ihre territorialen Vorstöße einzustellen, sehen die Vorschläge mehrere Schritte vor.
Der Plan umfasst die Rückführung aller vermeintlich deportierten Kinder in die Ukraine und den Austausch von Gefangenen. Die Ukraine würde Sicherheitsgarantien, Mittel zur Beseitigung der Kriegsschäden und einen Weg zum raschen Beitritt zur Europäischen Union erhalten.
Die Sanktionen gegen Russland würden schrittweise aufgehoben. Allerdings würden die eingefrorenen Zentralbankreserven in Höhe von rund 300 Milliarden Dollar erst zurückgegeben, wenn Moskau sich bereit erklärt, einen Beitrag zum Wiederaufbau der Ukraine zu leisten. Die Restriktionen würden wieder in Kraft treten, sollte Russland seinen Nachbarn erneut angreifen.
Moskau und Kiew würden Verhandlungen über die Verwaltung der besetzten Gebiete aufnehmen. Allerdings würden weder Europa noch die Ukraine die besetzten Gebiete rechtlich als russisch anerkennen, so mit der Angelegenheit vertraute Personen. Ein Friedensgremium unter dem Vorsitz von US-Präsident Trump würde die Umsetzung des Plans überwachen.
Die Details des Plans werden derzeit finalisiert und könnten sich noch ändern, warnten die Informanten. Jeder Vorschlag müsste auch von Washington mitgetragen werden.
Nato-Generalsekretär Mark Rutte reiste am Dienstag zu Gesprächen mit Trump nach Washington. Ein westlicher Beamter sagte, Rutte plane, Trump die europäischen Standpunkte zu einem Waffenstillstand und anschließenden Friedensverhandlungen darzulegen.
Die europäischen Verbündeten der Ukraine sind besorgt, dass Trump Putin treffen könnte, ohne ernsthafte Zugeständnisse vom russischen Präsidenten zu erhalten. Ein hochrangiger europäischer Regierungsbeamter sagte gegenüber Bloomberg, man sehe keine Anzeichen dafür, dass Putin von seinen maximalistischen Forderungen abweiche.
Bei einem Gipfeltreffen der Staats- und Regierungschefs der Europäischen Union am Donnerstag in Brüssel werden zusätzliche Sanktionen gegen den Kreml sowie finanzielle Hilfe für die Ukraine durch die Verwendung eingefrorener Vermögenswerte der russischen Zentralbank diskutiert werden.
Die Verbündeten der Ukraine aus der sogenannten Koalition der Willigen werden am Freitag zusammenkommen, um über eine Sicherheitstruppe zur Gewährleistung einer Nachkriegsregelung in der Ukraine zu diskutieren. Russland lehnt eine solche internationale Sicherheitstruppe ab.
Die Wahl von Budapest als Ort für ein mögliches Treffen zwischen Putin und Trump ist innerhalb der EU umstritten. Der ungarische Ministerpräsident Viktor Orbán gilt als einer der wenigen europäischen Staatschefs, die weiterhin gute Beziehungen zu Russland unterhalten.
Putin wird vom Internationalen Strafgerichtshof wegen mutmaßlicher Kriegsverbrechen in der Ukraine gesucht. Jede Reise nach Budapest würde erfordern, dass Putin den Luftraum anderer EU-Länder durchfliegt.
Polens Außenminister Radosław Sikorski erklärte am Dienstag gegenüber einem polnischen Radiosender, er könne nicht garantieren, dass Putins Flugzeug den Luftraum des Landes ohne Abfangen passieren dürfe.
Bulgarien signalisierte hingegen, Putin könne seinen Luftraum nutzen. Ungarn hatte zugesagt, die sichere Einreise und Rückkehr des russischen Präsidenten nach Moskau zu gewährleisten.
Selenskyj kritisierte Budapest als Verhandlungsort wegen Orbáns russlandfreundlicher Haltung, sagte jedoch, er werde an Gipfelgesprächen teilnehmen, wenn er dazu eingeladen werde. "Wir sind einem möglichen Ende des Krieges näher gekommen, das kann ich Ihnen mit Sicherheit sagen", erklärte Selenskyj nach seinem Besuch in den USA gegenüber Reportern in Kiew.
URL dieses Artikels:https://www.heise.de/-10793784
Links in diesem Artikel:[1] https://www.ft.com/content/49eb8e95-93c1-4d22-aded-16b1612c034a[2] https://www.reuters.com/world/european-leaders-issue-statement-backing-trumps-ukraine-ceasefire-position-2025-10-21/[3] https://www.heise.de/tp/features/Schmach-Fuerst-Igor-fuehrt-die-Rus-in-den-Untergang-10724137.html[4] https://www.heise.de/tp/features/Ukraine-Trump-draengt-Selenskyj-zu-Putins-Bedingungen-10779155.html[5] https://www.bloomberg.com/news/articles/2025-10-21/europe-and-ukraine-prepare-12-point-proposal-to-end-russia-s-war
Copyright © 2025 Heise Medien
Trotz Trumps Ankündigung dementiert Neu-Delhi eine Zusage zum Import-Stopp. Raffinerien reduzieren lediglich – und nur, wenn die Preise nicht stimmen.
US-Präsident Donald Trump hat kürzlich verkündet, dass Indiens Premierminister Narendra Modi zugesagt habe, kein Erdöl mehr aus Russland zu importieren. Wieder einmal schien Trumps Strategie des wirtschaftlichen Drucks aufzugehen.
Der Druck auf Indien diente dazu, Russlands Ölexporte und damit die Einnahmen des Kreml zu schmälern. Denn bislang war Indien ein bedeutender Käufer des russischen Erdöls. In Washington erhoffte man sich, auf diesem Weg den russischen Präsidenten Wladimir Putin wegen des Kriegs in der Ukraine an den Verhandlungstisch zu zwingen.
Allerdings deutet einiges darauf hin, dass Trump keinen Erfolg vorzuweisen hat. Die indische Regierung hat diese Zusage zumindest nicht bestätigt, wie die Nachrichtenagentur Reuters berichtete [1]. Lokale Raffinerien sprachen demnach auch lediglich von einer Reduktion der Käufe, nicht von einem vollständigen Stopp.
Ein ähnliches Spiel konnte man bereits im Juli sehen: Trump drohte Käufern von russischem Erdöl mit Zusatzzöllen von 100 Prozent. Staatliche indische Raffinerien reduzierten daraufhin tatsächlich ihre Käufe – aber nicht wegen Trumps Drohung, sondern weil die Preisnachlässe geringer wurden [2]. Als sie wieder größer wurden, stiegen auch die Käufe erneut an. Private Raffinerien kauften ohnehin weiter.
Die Verbindung zwischen Indien und Russland ist nach wie vor robust. In den ersten neun Monaten 2025 importierte Indien im Schnitt 1,9 Millionen Barrel russisches Erdöl pro Tag. Das berichtete Reuters und berief sich dabei auf Daten der Internationalen Energieagentur (IEA). Damit nahm Indien rund 40 Prozent der russischen Ölexperte ab.
Im September 2025 waren es 1,62 Millionen Barrel täglich, etwa ein Drittel der indischen Ölimporte, wie Reuters unter Berufung auf Handelsdaten schreibt.
Das Centre for Research on Energy and Clean Air (CREA) bestätigt in seinem September-Bericht [3], dass Indien nach China der zweitgrößte Käufer [4] russischer fossiler Energieträger bleibt. Allerdings sanken die russischen Rohöleinfuhren Indiens im Monatsvergleich um neun Prozent auf den niedrigsten Stand seit Februar. Besonders staatliche Raffinerien hätten ihre Käufe um 38 Prozent reduziert.
Die Reaktionen der Raffinerien deuten auf eine Verschiebung hin. Reliance Industries, Indiens größter Einzelabnehmer russischen Rohöls, kaufte kürzlich mindestens 2,5 Millionen Barrel aus dem Nahen Osten, berichtet [5] Bloomberg jetzt. Das Unternehmen fragte demnach verstärkt nach Ölqualitäten, die russischem Rohöl ähneln.
Die Situation ist komplex: Reliance hat einen 10-Jahres-Liefervertrag über nahezu 500.000 Barrel pro Tag mit dem russischen Staatskonzern Rosneft abgeschlossen, wie Reuters schrieb [6].
Rosneft hat mit Reliance nur Lieferbeziehungen, aber der russische Konzern hält rund 49 Prozent an einem weiteren großen indischen Raffineriebetreiber, Nayara. Dessen Raffinerie Vadinar mit einer Kapazität von 400.000 Barrel täglich ist ausschließlich auf russisches Rohöl angewiesen.
Nachdem die Europäische Union und Großbritannien beschlossen hatten, keine Ölprodukte mehr zu importieren, die aus russischem Rohöl hergestellt wurden, senkte Nayara die Auslastung.
Ab dem 21. Januar tritt in der Europäischen Union ein Importverbot für Kraftstoffe in Kraft, die aus russischem Rohöl raffiniert wurden. Europa steht für über ein Drittel der indischen Diesel- und Jet-Fuel-Exporte, wie Reuters berichtet.
In offiziellen EU-Leitlinien wird Indien als Hochrisikoland genannt, bei dem Vertragspartner zusätzliche Sorgfaltspflichten beachten sollten, schreibt Bloomberg. Das CREA verweist auf das 18. EU-Sanktionspaket, das Importe von "aus russischem Rohöl raffiniertem Öl" verbietet, und empfiehlt eine Schließung von Schlupflöchern.
Die EU, Großbritannien, Kanada, Norwegen, die Schweiz und Australien setzten am 3. September 2025 einen auf 47,6 US-Dollar pro Barrel gesenkten Preisdeckel für russisches Rohöl um. Die USA verblieben bei 60 Dollar pro Barrel, wie CREA in seinem Bericht dokumentiert.
Die USA belegten indische Exporte mit einem Zusatzzoll von 25 Prozent, um das Land zu einem Verzicht auf russisches Erdöl zu bewegen. Trump kündigte zudem an, China zu ähnlichen Schritten zu bewegen und erwartet auch von Japan, russische Energieimporte zu stoppen.
US-Finanzminister Scott Bessent erklärte laut Reuters gegenüber seinem japanischen Amtskollegen Katsunobu Kato, die Trump-Regierung erwarte von Japan, den Import russischer Energie einzustellen.
Es ist allerdings fraglich, ob diese Strategie des wirtschaftlichen Drucks [7] von Erfolg gekrönt sein wird. So wie Reuters schreibt, könnte ein indischer Importstopp auch dafür sorgen, dass russisches Rohöl in den wachsenden Schattenmarkt gedrängt wird.
URL dieses Artikels:https://www.heise.de/-10793557
Links in diesem Artikel:[1] https://www.reuters.com/world/india/trump-says-modi-has-assured-him-india-will-not-buy-russian-oil-2025-10-15/[2] https://www.cnbc.com/2025/08/01/indian-state-refiners-pause-russian-oil-purchases-reuters-reports.html[3] https://energyandcleanair.org/september-2025-monthly-analysis-of-russian-fossil-fuel-exports-and-sanctions/[4] https://www.heise.de/tp/features/Beijing-ignoriert-Westen-Russisches-Sanktions-Gas-landet-heimlich-in-China-10637347.html[5] https://www.bloomberg.com/news/articles/2025-10-21/india-s-reliance-grabs-mideast-oil-as-russian-flows-scrutinized[6] https://www.reuters.com/business/energy/trumps-india-squeeze-push-russian-oil-further-into-shadows-2025-10-20/[7] https://www.heise.de/tp/features/Wie-der-Westen-den-Globalen-Sueden-verliert-9183423.html
Copyright © 2025 Heise Medien
(Bild: Outflow_Designs / Shutterstock.com)
Im Dolby Unified Decoder klaffte eine Sicherheitslücke, die einen Zero-Click-Exploit etwa in Android ermöglichte.
Eine Sicherheitslücke im Dolby Digital Plus Unified Decoder machte Android, iOS, macOS und Windows anfällig für Angriffe. Sie ermöglichte etwa Zero-Click-Attacken auf Android-Geräte. Aktualisierungen zum Stopfen des Sicherheitslecks stehen bereits zur Verfügung.
Darüber berichtet Googles Project Zero in einem Bug-Eintrag [1]. Aufgrund eines Integer-Überlaufs bei der Verarbeitung von Daten durch den DDPlus Unified Decoder können Schreibzugriffe in einen Heap-artigen Puffer über die vorgesehenen Speichergrenzen hinaus erfolgen. Dadurch lassen sich Strukturen wie Zeiger überschreiben. "Unter Android führt dies zu einer Zero-Click-Schwachstelle, da Android lokal alle Audio-Nachrichten und -Anhänge zur Transkription dekodiert, mit diesem Decoder, und das ohne, dass Nutzer mit dem Gerät interagieren", erklären die Programmierer dort.
Sie haben Beispieldateien erstellt, die die Lücke demonstrieren und einen Absturz anfälliger Geräte auslösen. Getestet haben die IT-Forscher Googles Pixel 9 sowie Samsungs S24, die mit einem SIGSEGV (Segmentation Fault) abstürzten. MacBook Air M1 mit macOS 26.0.1 und iOS 26.0.1 auf einem iPhone 17 Pro stürzten hingegen mit einer "-bounds-safety trap" ab, also Sicherheitsmechanismen in der verwendeten Programmierumgebung. Die IT-Sicherheitsspezialisten haben eingeschleusten Code durch diese Schwachstelle auf Googles Pixel 9 mit Android 16 und Firmware BP2A.250605.031.A2 ausführen können.
Die Schwachstelle gilt dem Bug-Eintrag zufolge als gefixt. Microsoft hat sie vergangene Woche [2] mit den Oktober-Sicherheitsupdates für diverse Windows-Versionen ausgebessert(CVE-2025-54957, CVSS 7.0, Risiko "hoch"). Für ChromeOS hat Google dafür Mitte September [3] eine Betriebssystemaktualisierung verteilt.
Dolby hat eine eigene Sicherheitsmitteilung [4] veröffentlicht, in der das Unternehmen das Sicherheitsrisiko mit einem CVSS-Wert von 6.7 lediglich als "mittel" einstuft. Betroffen sind demnach die Softwareversionen UDC v4.5 bis v4.13. Der Hersteller fordert Anbieter auf, deren Geräte Dolby Digital Plus einsetzen, ihren Dolby-Repräsentanten zu kontaktieren, um die jüngsten Dolby-Digital-Plus-Dateien zu erhalten. Endkunden sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind.
Zuletzt gab es etwa Ende August in WhatsApp eine Zero-Click-Lücke, die iOS- und macOS-Geräte [5] ohne Nutzerbestätigung verwundbar machte.
URL dieses Artikels:
https://www.heise.de/-10793034
Links in diesem Artikel:
[1] https://project-zero.issues.chromium.org/issues/428075495
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54957
[3] https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-chromeos_18.html
[4] https://professional.dolby.com/siteassets/pdfs/dolby-security-advisory-CVE-2025-54957-Oct-14-25.pdf
[5] https://www.heise.de/news/Zero-Click-Angriff-auf-Apple-Geraete-via-WhatsApp-10626629.html
[6] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2025 Heise Medien
Whatsapp-App auf Smartphone
(Bild: PixieMe/Shutterstock.com)
WhatsApp plant eine Begrenzung von Nachrichten, wenn diese ohne Reaktion bleiben. Das soll unerwünschte Werbenachrichten eindämmen.
WhatsApp will Spam den Kampf ansagen. Dazu plant die Messenger-Plattform, die Anzahl an Nachrichten einzuschränken, die Privatnutzer und Unternehmen senden können, wenn (unbekannte) Empfänger darauf nicht reagieren.
Das hat das Magazin TechCrunch [1] in Erfahrung gebracht. Demnach rechnet WhatsApp alle Nachrichten, die Nutzer und Unternehmen versenden, auf ein monatliches Budget an – außer, die Absender erhalten eine Antwort. Wie hoch die maximale Anzahl an unbeantworteten Nachrichten vor der Sperre ist, nannte WhatsApp nicht. Die App soll jedoch ein Pop-up-Fenster als Warnung anzeigen, sofern sich Betroffene dem Limit nähern, sodass sie möglicherweise die Blockade noch abwenden können.
Gegenüber TechCrunch hat WhatsApp erklärt, die Funktion "in mehreren Ländern in den kommenden Wochen" scharfzuschalten. Durchschnitts-User seien nicht betroffen, da sie üblicherweise die Grenzen nicht erreichen. Der Mechanismus sei dafür ausgelegt, effektiv gegen Menschen und Geschäfte vorzugehen, die massig Nachrichten verschicken und Leute zuspammen.
Spam-Versand in WhatsApp scheint ein lukratives Geschäftsmodell zu sein. Die IT-Forscher von Socket haben eine Kampagne entdeckt, bei der der Chrome Web Store mit 131 Klonen einer WhatsApp-Web-Automatisierungs-Erweiterung geflutet wurde. Im Visier der Spammer sind derzeit insbesondere brasilianische Nutzerinnen und Nutzer.
Wie die IT-Sicherheitsforscher von Socket in einem Blog-Beitrag [2] berichten, injiziert sich der Code der Browser-Erweiterungen direkt in die WhatsApp-Webseite und läuft dort neben den eigenen Skripten von WhatsApp. Er automatisiert Massenkontakte und plant diese so, dass sie die Anti-Spam-Maßnahmen von WhatsApp unterlaufen. Die Autoren der Original-Erweiterung suchen Kunden, die für die Massen-Spams zahlen – dafür versprechen sie ein Vielfaches an Gewinn – und ihre Marken sowie Webseiten zur Verfügung stellen. Daher ist der gleiche Code mit unterschiedlichen Marken als Aufmacher den Forschern zufolge bereits 131 Mal im Chrome Web Store aufgetaucht. In der Analyse zählen sie alle bösartigen Erweiterungen in den Indizien für eine Infektion (Indicators of Compromise, IOCs) auf. Zudem haben sie die Erweiterungen an Google gemeldet, damit sie aus dem Store entfernt werden.
Bereits im April hat WhatsApp erste Maßnahmen gegen unerwünschte Werbebotschaften ergriffen. Dazu hat die Messenger-Plattform die Broadcast-Funktion eingeschränkt [3], mit der Nutzer und Unternehmen viele Nutzer auf einmal erreichen können. Zu dem Zeitpunkt hat WhatsApp noch die passenden Limits ausgetestet. Die damals aktuelle Beta-Version erlaubte 30 Broadcast-Nachrichten im Monat. Für weitere Mitteilungen empfahl WhatsApp, dass Betroffene Status-Updates oder Kanäle nutzen sollten.
URL dieses Artikels:
https://www.heise.de/-10792924
Links in diesem Artikel:
[1] https://techcrunch.com/2025/10/17/whatsapp-will-curb-the-number-of-messages-people-and-businesses-can-send-without-a-response/
[2] https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store
[3] https://www.heise.de/news/Kampf-dem-Spam-WhatsApp-will-Broadcast-Nachrichten-staerker-reglementieren-10341145.html
[4] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:dmk@heise.de
Copyright © 2025 Heise Medien
