Nachrichten vom Freitag, 01.05.2026
Sonstiges
Welt
Hormuz formell offen — Handelsschifffahrt bleibt Geisterbetrieb
Obwohl der Iran die Straße von Hormuz am 17. April offiziell für alle Schiffe freigegeben hat, liegt der kommerzielle Durchfluss weiterhin bei rund fünf Prozent des Vorkriegsniveaus. Ursache ist die US-Gegenblockade auf iranische Häfen, die unabhängig von der Waffenruhe in Kraft bleibt; zusätzlich beschlagnahmte der Iran am 22. April drei Handelsschiffe im Seegebiet — Stunden nach Trumps einseitiger Verlängerung des Waffenstillstands auf pakistanischen Wunsch. Analysen gehen davon aus, dass Ölflüsse erst bis Juli auf rund 90 Prozent des Vorkriegsvolumens zurückkehren könnten, falls die Waffenruhe hält — und dass Raffinerien diese Lieferungen frühestens zwei Monate danach erhalten. Der Waffenstillstand und die De-facto-Blockade existieren damit gleichzeitig als rechtlich getrennte Konstrukte: ein Muster, das Verhandlungsdruck auf Teheran erzeugen soll, ohne militärisch zu eskalieren.
↳ Bezug zum Vortag: Islamabad-Gespräche gescheitert; Iran hatte Hormuz-Öffnung ohne Atomverknüpfung angeboten; Trump bestätigte Blockade bis Nuklearabkommen steht.
Quelle: cnbc.com
Wem nützt's?
'„Hausverbot für NIUS: Warum unser Reporter bei Ministerin Prien rausflog"' (NIUS Live, YouTube-Aufmacher 30.04.)
Das Publix-Haus (Betriebssitz von Correctiv und HateAid in Berlin) erteilte NIUS-Reporter Jens Winter am 29. April während einer Podiumsdiskussion mit Bundesfamilienministerin Karin Prien (CDU) Hausverbot — Begründung: NIUS sei nicht "gemeinwohlorientiert". NIUS framt den Vorfall als staatlichen Angriff auf die Pressefreiheit, obwohl das Hausverbot vom privaten NGO-Veranstaltungsort ausgesprochen wurde, nicht von einer Behörde. Correctiv und HateAid erhalten öffentliche Bundesfördermittel (u.a. für den Publix-Komplex); die AfD-Fraktion beantragt seit Monaten im Bundestag, diese Förderung zu beenden — eine Forderung, die NIUS redaktionell unterstützt. Der Effekt: Während das Kabinett Merz/Klingbeil am 30. April die Eckpunkte für Karenztag (erster Krankheitstag unbezahlt) und die Krankenversicherungsreform 2030 beschloss — strukturell regressive Maßnahmen, die einkommenschwache Vollzeitbeschäftigte überproportional belasten —, lenkten NIUS-Publikum und Reichweite auf die Pressefreiheitsdebatte.
Quelle: nius.de
Unter dem Radar
WFP: 318 Millionen Menschen in Hungernot — Finanzierungslücke lässt nur ein Drittel erreichbar
Das Welternährungsprogramm (WFP) kalkuliert für 2026 mit 318 Millionen Menschen in 68 Ländern auf Krisenniveau oder schlimmer — mehr als doppelt so viele wie 2019. Die WFP-Finanzierung ist zwischen 2024 und 2025 um 40 Prozent eingebrochen; das Programm kann damit noch 110 Millionen der Bedürftigsten erreichen, bei einem geschätzten Bedarf von 13 Milliarden Dollar. Sechs Länder stuft das WFP als unmittelbar hungersnotkritisch (drohende Hungersnot) ein: Sudan, Gaza, Südsudan, Jemen, Mali und Haiti. Ein separates WFP-Szenario zeigt, dass allein ein anhaltend hoher Ölpreis über 100 Dollar pro Barrel zusätzlich 45 Millionen Menschen in akute Nahrungsmittelkrisen treiben würde — 17,7 Millionen davon in Ost- und Südafrika, wo über 90 Prozent der Düngemittel importiert werden. In deutschen Leitmedien wird der Hormuz-Schock fast ausschließlich als Energiepreisthema behandelt; der Transmissionsweg über Düngemittel in Nahrungsmittelpreise und schließlich in Hunger erscheint strukturell nicht.
Quelle: wfp.org
Security & Privacy
CVE-2026-31431 "Copy Fail": Neun Jahre alter Kernel-Bug gibt lokalem Angreifer root auf allen Major-Linux-Distros
Sicherheitsforscher von Xint.io und Theori haben am 29. April 2026 einen Privilege-Escalation-Bug (Rechteausweitung: lokaler Nutzer erlangt Root-Rechte) im Linux-Kernel veröffentlicht, der seit 2017 besteht. Der Fehler liegt im `algif_aead`-Modul der Kernel-Kryptographieschnittstelle: Ein Logikfehler in der `authencesn`-Vorlage erlaubt es, vier kontrollierte Bytes in den Page Cache (Kernel-seitiger Speicher für gecachte Dateiinhalte) jeder lesbaren Datei zu schreiben — ausreichend, um ein Setuid-Binary (ein Programm, das mit erhöhten Rechten läuft) zu manipulieren und root zu werden. Ein 732-Byte-Python-Proof-of-Concept funktioniert zuverlässig ohne Race-Condition oder Timing-Tricks auf Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 und SUSE 16. Debian, Ubuntu und SUSE haben Kernel-Pakete mit dem Fix veröffentlicht; RHEL arbeitet am Patch. Workaround bis Patch: `algif_aead`-Modul per Modprobe-Blacklist deaktivieren (funktioniert auf Debian-Derivaten; auf RHEL-Familie ist das Modul in den Kernel kompiliert — dort hilft nur AF_ALG via seccomp sperren).
Quelle: xint.io
Sonstiges
CVE-2026-32202: Windows-Shell-Zero-Day von APT28 ausgenutzt — CISA-Patch-Deadline 12. Mai
Eine Windows-Schwachstelle, die CISA am 29. April in den KEV-Katalog (Known Exploited Vulnerabilities — US-Behördenliste aktiv ausgenutzter Lücken) aufgenommen hat, erlaubt das Stehlen von NTLMv2-Hashes (Passwort-Hashes, mit denen Angreifer sich ohne Klartext-Passwort lateral im Netzwerk authentifizieren können) durch bloßes Öffnen eines präparierten Ordners — ohne weiteren Nutzerklick. Die Lücke entstand, weil Microsoft im Februar einen früheren RCE-Bug (CVE-2026-21510) unvollständig gepatcht hatte; der verbleibende Angriffspfad über LNK-Dateien (Windows-Verknüpfungsdateien) blieb offen. CVE-2026-21510 wurde von der russischen Gruppe APT28 ("Fancy Bear") seit Dezember 2025 aktiv gegen ukrainische und europäische Ziele eingesetzt; ob APT28 auch CVE-2026-32202 selbst ausgenutzt hat, hat Microsoft noch nicht bestätigt. Patch ist seit dem April-Patchday (14. April) verfügbar; US-Bundesbehörden müssen bis 12. Mai patchen — alle anderen Umgebungen: sofort.
Quelle: helpnetsecurity.com
Tech & Open Source
CVE-2026-40372: Microsoft-Notfallpatch für ASP.NET Core — gefälschte Auth-Cookies führen zu SYSTEM-Zugriff (CVSS 9.1)
Microsoft hat außerplanmäßig ASP.NET Core 10.0.7 veröffentlicht, um eine kritische Schwachstelle in der Data-Protection-Komponente (die Bibliothek, die in .NET-Webanwendungen Authentication-Cookies und andere schützenswerte Payloads kryptographisch absichert) zu schließen. Durch fehlerhafte Verifikation kryptographischer Signaturen (CWE-347) kann ein nicht authentifizierter Angreifer gültige Auth-Tokens fälschen, die die Anwendung als legitim akzeptiert — in bestimmten Konfigurationen reicht das bis zu SYSTEM-Level-Zugriff. Betroffen sind ASP.NET Core 10.0.0 bis 10.0.6, primär auf Linux und macOS sowie cross-platform-Szenarien; Windows-only-Deployments sind weniger exponiert. Fix: Upgrade auf 10.0.7, danach unbedingt den Data-Protection-Key-Ring rotieren, da bereits ausgestellte Tokens weiterhin als gültig akzeptiert werden könnten.
Quelle: thehackernews.com