Gpg4win 5.0.2: Kritischer Fehler legt sensible Daten offen
Veröffentlicht: 03.07.2026 um 07:09 Uhr, Redaktion boerse-global.de
Ein schwerwiegender Fehler im Verschlüsselungspaket Gpg4win 5.0.2 gefährdet sensible Daten. Das Problem betrifft den Kleopatra-Zertifikatsmanager bei der Stapelverarbeitung von S/MIME-Zertifikaten.
Datenleck bei Stapelsignaturen
Die Sicherheitslücke tritt auf, wenn die Funktion „Signieren und Verschlüsseln" auf mehrere Dateien gleichzeitig angewendet wird. Kleopatra erzeugt zwar korrekt eine verschlüsselte .p7m-Datei, legt aber zusätzlich eine zweite .p7s-Datei an. Diese enthält sämtliche verarbeiteten Dokumente im Klartext – unverschlüsselt und für jeden lesbar.
Die gute Nachricht: Der Fehler beschränkt sich auf die Stapelverarbeitung mit S/MIME-Zertifikaten. Die Einzelverschlüsselung von Dateien funktioniert weiterhin zuverlässig. Auch die GPG/PGP-Verschlüsselung des Pakets ist von diesem spezifischen Problem nicht betroffen. Nutzer von Gpg4win 5.0.2 sollten bis zur Bereitstellung eines Patches bei der S/MIME-Signatur besondere Vorsicht walten lassen.
GnuPG-Updates und Post-Quanten-Kryptographie
Parallel zur Sicherheitswarnung veröffentlichten die Entwickler am 2. Juli 2026 GnuPG 2.5.21. Das Update bringt Unterstützung für die Kyber- und ML-KEM-Algorithmen – ein klares Zeichen für den branchenweiten Umstieg auf post-quanten-kryptographische Verfahren. Mit dieser Veröffentlichung erreichte GnuPG Version 2.4 offiziell das Ende seines Lebenszyklus.
Wer Gpg4win 5.0.2 für S/MIME-Stapelsignaturen einsetzt, riskiert die Offenlegung sensibler Daten – der Fehler erzeugt unverschlüsselte .p7s-Dateien. Bis ein Patch bereitsteht, brauchen Sie eine sofortige Handlungsanleitung. Sicherheits-Report mit Sofort-Maßnahmen anfordern
Auch Microsoft steht unter Zugzwang: Am 1. Juli 2026 wurde bekannt, dass Windows-Systeme weiterhin die veralteten SHA-1- und MD5-Hashverfahren bei der Zertifikatsverarbeitung akzeptieren (CVE-2026-6412). Die vollständige Umstellung auf Post-Quanten-Kryptographie ist laut Dokumentation für 2029 geplant.
Weitere Sicherheitslücken in Open-Source- und Produktivsoftware
Die Entdeckung der Gpg4win-Lücke reiht sich in eine Serie bedeutender Sicherheitsmeldungen ein:
Die Gpg4win-Lücke ist kein Einzelfall: Parallel wurden kritische Heap-Overflows in libssh2 und WinRAR gemeldet. Ihr Unternehmen braucht eine aktuelle Risikoanalyse für alle eingesetzten Tools. Dieser Report liefert eine Tool-übergreifende Sicherheits-Checkliste für 2026. Tool-übergreifende Sicherheits-Checkliste jetzt sichern
- libssh2: Eine kritische Heap-Overflow-Lücke (CVE-2026-55200) mit einem CVSS-Score von bis zu 9,8 ermöglicht die ferne Code-Ausführung über einen manipulierten SSH-Server. Ein Fix liegt bereits als Commit vor.
- WinRAR: Version 7.23 schließt die Sicherheitslücke CVE-2026-14191 – ebenfalls ein Heap-Overflow bei der Verarbeitung von RAR5-Wiederherstellungsvolumes. Angreifer könnten sonst die Kontrolle über den Zielrechner übernehmen.
- Zero-Day-Forschung: Am 27. Juni 2026 veröffentlichte ein Forscher unter dem Pseudonym „bikini" über 30 Proof-of-Concept-Exploits für bisher unbekannte Sicherheitslücken in Open-Source-Projekten – darunter der Linux-Kernel und FFmpeg. Die Schwachstellen wurden mithilfe KI-gestützter Fuzzing-Techniken entdeckt.
- KDE Plasma: Ein ungepatchter Sandbox-Escape in KDE Plasma 6.7 wurde am 2. Juli 2026 gemeldet. Die Funktion „Neues Fenster öffnen" ermöglicht die Ausführung beliebigen Codes außerhalb von Flatpak-Sandboxes.
Bereits seit 2025 bekannt, aber weiterhin ungepatcht: Eine Schwachstelle in Apples „Hide My Email"-Dienst, die es Angreifern erlaubt, die echten E-Mail-Adressen von Nutzern zu entschlüsseln. Betroffen sind sämtliche getesteten Aliasse. Bereits im Frühjahr waren zudem Sicherheitslücken in WinSCP und KeePassXC bekannt geworden – betreffend die kryptographische Nonce-Erzeugung beziehungsweise unkontrollierte Suchpfad-Elemente.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
