Passwort - der Podcast von heise security News PKI-Neuerungen, Tor-Umbau und React2Shell
Dec 17, 2025
In dieser Folge wird eine kuriose Toilettenschüsselkamera für Darmkrebsfrüherkennung thematisiert, die nicht wirklich sicher ist. Sylvester erklärt die kritische Schwachstelle React2Shell und ihre Auswirkungen auf zahlreiche Domains. Die beiden diskutieren auch die Herausforderungen bei der Aufklärung über Sicherheitslücken und die Reaktionen der Anbieter. Außerdem wird das neue Kryptodesign für Tor, Counter-Galois Onion, vorgestellt, das Sicherheitsprobleme lösen soll. Abschließend gibt es spannende Einblicke in Zertifizierungsfragen und die Zukunft der PKI.
AI Snips
Chapters
Transcript
Episode notes
Toilettenkamera Verspricht Schutz, Liefert Daten
- Dr. Christopher Kunz beschreibt eine Toilettenkamera, die angeblich End-to-End-Verschlüsselung verspricht, aber Bilder zur KI-Trainingsnutzung an den Hersteller sendet.
- Das Produkt kostet 600 Dollar und verlangt ein verpflichtendes Abonnement, was Privatsphäre und Ethikfragen aufwirft.
React2Shell: Deserialisierung Als Achillesferse
- React2Shell ist eine kritische Unauthenticated RCE in React Server Functions mit CVSS 10.0 und betrifft breit genutzte Frameworks wie Next.js und Parcel.
- Ursache ist unsichere Deserialisierung und fehlende HasOwn-Prüfung, die Prototyp-Manipulation erlaubt.
Bei Kritischen Patches Sofort Upgraden
- Wenn eine kritische Open-Source-Sicherheitslücke gepatcht wird, aktualisiere sofort auf die neue Version statt teure Workarounds zu bauen.
- Upgraden ist die verlässlichste Maßnahme; versuche nicht, Fixes vor dem Upgrade rückzuapplizieren.