Breaking news and updates from the world of technology.
Der vollständige Gesetzestext von H.R. 8957, dem American Reserve Modernization Act of 2026, offenbart strenge Regeln dafür, wie die Bundesregierung Bitcoin halten, prüfen und schließlich verkaufen würde.
Angreifer mit Verbindungen zu Lapsus$ führten einen dreistufigen Lieferkettenangriff durch: Sie kompromittierten zunächst Trivy (einen Open-Source-Schwachstellenscanner), extrahierten CI/CD-Anmeldedaten aus LiteLLMs Build-Pipeline und veröffentlichten dann die schädlichen LiteLLM-Versionen 1.82.7 und 1.82.8 auf PyPI. Jedes KI-System, das diese Versionen bezog, führte angreifergesteuerten Code aus – und Mercor, ein 10-Milliarden-Dollar-KI-Training-Auftragnehmer, der für OpenAI, Anthropic, Meta und Google arbeitet, war eines der Opfer. Das Ergebnis: 939 GB Plattformquellcode, 211 GB Benutzerdaten und rund 3 TB an Passkopien, SSN-Datensätzen und biometrischen Interviewvideos von Auftragnehmern werden nun im Darknet zur Versteigerung angeboten.
Samsung Display hat auf der Computex 2026 ein 31,5-Zoll-QD-OLED-Panel vorgestellt, das 4K (3840×2160) Auflösung mit einer Bildwiederholfrequenz von 360 Hz kombiniert – eine Kombination, die bei selbstemittierenden Displays bisher als unerreichbar galt. Die dahinterstehende Technologie namens Penta Tandem verwendet fünf gestapelte blaue OLED-Schichten statt vier. Ein Dual Mode reduziert die Auflösung auf 1080p und treibt die Bildwiederholfrequenz auf 680 Hz für kompetitives Gaming. Erste Monitore werden für Ende 2026 oder Anfang 2027 erwartet.
CISA hat CVE-2026-28318 in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen: ein unkontrollierter Ressourcenverbrauchsfehler in SolarWinds Serv-U, der es nicht authentifizierten Angreifern ermöglicht, den Dienst mit einer einzigen manipulierten HTTP-POST-Anfrage zum Absturz zu bringen. Bundesbehörden müssen bis zum 19. Juni 2026 auf Serv-U 15.5.4 Hotfix 1 aktualisieren. Unternehmen und Regierungsorganisationen außerhalb dieses Bundesmandats sollten dies mit derselben Dringlichkeit behandeln.
Eine Schwachstelle in Metas High Touch Support-System – einem KI-gestützten Tool zur Wiederherstellung des Konto-Zugriffs – ermöglichte es Angreifern, Passwörter auf Konten zurückzusetzen, die ihnen nicht gehörten, indem sie das Tool mit Prompt Injection ausnutzten.
In seiner voraussichtlich letzten WWDC-Keynote als CEO stellte Tim Cook eine Siri vor, die auf einem speziell angepassten Google Gemini Model basiert, launchte iOS 27 und führte ein Extensions-System ein, mit dem Nutzer jede beliebige KI einsetzen können.
Die berüchtigte Erpressergruppe ShinyHunters hat die gesamte 234-GB-Beute veröffentlicht, die vom Dentalleistungsverwalter DentaQuest gestohlen wurde, nachdem das Unternehmen sich geweigert hatte, das geforderte Lösegeld zu zahlen. Die geleakten Dateien enthalten Namen, Adressen, staatliche Ausweise, Medicaid-Nummern und Krankenversicherungsdetails von schätzungsweise 2,6 Millionen Personen.
Das Verteidigungsministerium hat Amazon, Google, Microsoft, OpenAI, SpaceX, NVIDIA, Reflection AI und Oracle offiziell ermächtigt, ihre KI-Systeme in den sensibelsten klassifizierten Netzen der USA einzusetzen – während eine neue Direktive des Weißen Hauses alle Verteidigungsbehörden verpflichtet, innerhalb von 120 Tagen Multi-Vendor-KI einzuführen.
OpenAI hat den Lockdown Mode – eine Sicherheitseinstellung, die Webzugriff, Agent Mode, Deep Research und externe Verbindungen deaktiviert – von Firmenkunden auf alle ChatGPT-Konten ausgeweitet. Es ist die bisher direkteste Reaktion des Unternehmens auf die wachsende Bedrohung durch Prompt Injection.
OpenAIs ChatGPT hat im Mai 2026 die Marke von 1 Milliarde monatlich aktiven Nutzern weltweit überschritten und damit TikTok, Instagram und YouTube überholt, um das schnellste Wachstum einer Verbraucher-App aller Zeiten zu verzeichnen. Dieser Meilenstein fällt in eine Phase verschärfter Konkurrenz bei KI-Assistenten.
Das Sicherheits-Startup depthfirst ließ einen autonomen KI-Agenten über 1,5 Millionen Zeilen C-Code von FFmpeg laufen und fand 21 zuvor unbekannte Schwachstellen. Die Rechnung für die Rechenzeit betrug 1.000 $. Der älteste Bug blieb 23 Jahre lang unberührt. Alle 21 werden mit veröffentlichten Proof-of-Concept-Eingaben geliefert.
Eine Denial-of-Service-Schwachstelle in SolarWinds Serv-U ermöglicht es nicht authentifizierten Angreifern, Dateitransferserver mit einer einzigen manipulierten POST-Anfrage zum Absturz zu bringen. CISA hat CVE-2026-28318 am 5. Juni in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen, mit einer bundesweiten Behebungsfrist bis zum 19. Juni. Der Patch ist in Serv-U 15.5.4 HF1 enthalten.