Passwort - der Podcast von heise security News PKI-Neuerungen, Tor-Umbau und React2Shell
Dec 17, 2025
In dieser Folge wird eine kuriose Toilettenschüsselkamera für Darmkrebsfrüherkennung thematisiert, die nicht wirklich sicher ist. Sylvester erklärt die kritische Schwachstelle React2Shell und ihre Auswirkungen auf zahlreiche Domains. Die beiden diskutieren auch die Herausforderungen bei der Aufklärung über Sicherheitslücken und die Reaktionen der Anbieter. Außerdem wird das neue Kryptodesign für Tor, Counter-Galois Onion, vorgestellt, das Sicherheitsprobleme lösen soll. Abschließend gibt es spannende Einblicke in Zertifizierungsfragen und die Zukunft der PKI.
AI Snips
Chapters
Transcript
Episode notes
React2Shell: Deserialisierung Als Achillesferse
- React2Shell ist eine kritische Unauthenticated RCE in React Server Functions mit CVSS 10.0 und betrifft breit genutzte Frameworks wie Next.js und Parcel.
- Ursache ist unsichere Deserialisierung und fehlende HasOwn-Prüfung, die Prototyp-Manipulation erlaubt.
Bei Kritischen Patches Sofort Upgraden
- Wenn eine kritische Open-Source-Sicherheitslücke gepatcht wird, aktualisiere sofort auf die neue Version statt teure Workarounds zu bauen.
- Upgraden ist die verlässlichste Maßnahme; versuche nicht, Fixes vor dem Upgrade rückzuapplizieren.
POC-Flut Treibt Automatisierte Angriffe
- Angreifer integrieren neue Proofs-of-Concept automatisiert in ihre Toolchains und probieren sie direkt gegen Live-Ziele aus.
- Viele frühe POC auf GitHub sind fehlerhaft oder bösartig, Angreifer filtern anschliessend, was funktioniert.