Für eine kritische Sicherheitslücke in Adobes Shop-Systemen Commerce und Magento stehen seit September Updates zum Schließen bereit. Die sollten Admins zügig installieren – Attacken auf die Schwachstellen laufen inzwischen.

Adobe hat die Sicherheitsmitteilung zur Schwachstelle inzwischen angepasst und ergänzt, dass das Unternehmen von Angriffen im Internet auf die Lücke weiß. Richtig konkret wird das Unternehmen bei der Schwachstellenbeschreibung nicht, sondern zieht sich abstrakt auf „Common Weakness Enumeration“-Einordnung der Probleme zurück. Demnach handelt es sich um eine unzureichende Eingabeprüfung (Improper Input Validation, CWE-20), die zur Umgehung von Sicherheitsfunktionen führt (CVE-2025-54236, CVSS 9.1, Risiko „kritisch„). Im zugehörigen CVE-Eintrag findet sich der konkretere Hinweis, dass „erfolgreiche Angreifer das missbrauchen können, um Sessions zu übernehmen“. Nutzerinteraktion ist zum Missbrauch nicht nötig.

Eine technisch tiefergehende Analyse findet sich bei NullSecurityX. Es handelt sich um eine Deserialisierungs-Schwachstelle, die die IT-Forscher „SessionReaper“ genannt haben. „Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, REST-, GraphQL- oder SOAP-API-Endpunkte auszunutzen, was zu einer Übernahme der Sitzung oder unter bestimmten Bedingungen (etwa dateibasierter Session-Speicher) zur Ausführung von Code aus dem Netz (RCE) führen kann“, erörtern sie dort.

Cyberangriffe haben begonnen

Die IT-Analysten von Sansec haben nun seit Mittwoch aktive Angriffe auf die Sicherheitslücke „SessionReaper“ beobachtet. Den Autoren des Sicherheitsberichts zufolge haben derzeit lediglich 38 Prozent der Adobe-Commerce und -Magento-Stores die Sicherheitsupdates installiert – mehr als 60 Prozent der Shops sind damit noch verwundbar. IT-Sicherheitsforscher von Assetnote haben eine Analyse des Patches vorgelegt und die Deserialisierungslücke darin vorgeführt.

Erste Angriffe haben die IT-Forscher bereits beobachtet, Proof-of-Concept-Exploits sind öffentlich verfügbar. Daher rechnen die Analysten damit, dass nun massive Angriffe bevorstehen. Cyberkriminelle nehmen den Exploit-Code in ihre Werkzeugkästen auf und scannen das Netz automatisiert nach verwundbaren Instanzen. IT-Verantwortliche sollten die von ihnen betreuten Magento- und Commerce-Shops umgehend mit den bereitstehenden Aktualisierungen versorgen.

(dmk)

Microsoft hat am frühen Freitagmorgen ein Update außer der Reihe für die Windows Server Update Services (WSUS) veröffentlicht. Es schließt laut Microsoft eine kritische Sicherheitslücke korrekt, durch die Angreifer Schadocde einschleusen und ausführen können. Ein Proof-of-Concept-Exploit ist den Redmondern zufolge inzwischen aufgetaucht. Admins sollten daher zügig handeln und den neuen Patch anwenden.

Darauf weist ein Eintrag in Windows-Release-Health-Message-Center von 4 Uhr mitteleuropäischer Sommerzeit am Freitagmorgen hin. „Microsoft hat eine Remote-Code-Execution-Schwachstelle (RCE) im Berichtswebdienst der Windows Server Update Services (WSUS) entdeckt“, schreiben die Entwickler dort. „Ein Update-außer-der Reihe (Out-of-band, OOB) wurde am 23. Oktober veröffentlicht, um das Problem anzugehen“ – durch die Zeitverschiebung ist es zum Meldungszeitpunkt an der Pazifikküste der USA noch Donnerstag. Microsoft führt weiter aus: „Es handelt sich um ein kumulatives Update. [..] Sofern Sie die Windows-Sicherheitsupdates aus dem Oktober noch nicht installiert haben, empfehlen wir, das Update-außer-der-Reihe stattdessen zu anzuwenden.“ Nach der Aktualisierung ist ein Neustart erforderlich.

Angriff ohne vorherige Authentifizierung möglich

Microsoft hat zum Oktober-Patchday bereits einen Softwareflicken zum Schließen der Lücke veröffentlicht. Die Beschreibung der Schwachstelle lautet: „Die Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen“ (CVE-2025-59287, CVSS 9.8, Risiko „kritisch„).

Die Entwickler schreiben dort im Widerspruch zum Eintrag im Message Center, dass zum vollständigen Korrigieren der Schwachstelle Kunden mit Windows-Servern das Update-außer-der-Reihe anwenden sollen. Sie nennen auch einen Workaround, der unbedingt bis zur Installation der Updates angewendet werden sollte: Entweder deaktivieren Admins den WSUS, oder sie blockieren den Zugriff auf dessen Ports 8530 und 8531 auf der Host-Firewall und machen ihn so unerreichbar.

Das Update steht für diverse Server zur Verfügung:

Es handelt sich bereits um das zweite ungeplante Update im Oktober. Am Dienstag hat Microsoft ein Update außer der Reihe veröffentlicht, das ein Problem mit der Windows-Wiederherstellungsumgebung korrigiert. Die ließ sich nach den Sicherheitspatches vom Oktober nicht mehr mit USB-Tastaturen und -Mäusen bedienen.

(dmk)

Der Protestbus „Adenauer SRP+“ war am 20. September auf dem Weg ins sächsische Döbeln. Dort sollte er als Lautsprecherwagen den Christopher Street Day unterstützen. Die Pride Parade in der Kreisstadt stand im Fokus von rechtsextremen Protesten, weswegen auch Initiativen von außerhalb zur Unterstützung der Demonstrierenden mobilisierten. Doch der Adenauer-Bus kam nie an.

Die Polizei stoppte das Fahrzeug der Aktionskünstler vom Zentrum für politische Schönheit (ZPS), bevor es an der Demonstration teilnehmen konnte. Wegen angeblicher Sicherheitsmängel wurde der Bus an diesem Samstag aus dem Verkehr gezogen und gegen den Willen der Aktionskünstler beschlagnahmt.

Doch mittlerweile scheint sich zu erhärten: Um den Protestbus der Gruppe zu beschlagnahmen, hat die sächsische Polizei offenbar zwar eine Richterin gefragt, dann aber ein Nein übergangen und den Bus dennoch nicht weiterfahren lassen. Zugleich umging die Polizei den offiziellen Dienstweg und die eigentlich zuständige Behörde. Nach außen hin behauptete die Polizei in einer Mitteilung an die Presse, eine „richterliche Bestätigung“ eingeholt zu haben. Nach der Beschlagnahme ließ die Polizei den berühmten Adenauer-Bus zweimal von der Prüfgesellschaft Dekra in Chemnitz technisch untersuchen. Einblicke in die mehr als 150-seitige Ermittlungsakte sowie das Dekra-Kurzgutachten, die netzpolitik.org nehmen konnte, werfen viele Fragen zum polizeilichen Vorgehen auf.

Die Richterin hat Nein gesagt

Laut den Ermittlungsakten gab es vor der Beschlagnahme mehrfach Telefongespräche zwischen der Polizei und der zuständigen Bereitschaftsrichterin beim Landgericht Chemnitz. Streng genommen war sie „im Eildienst quasi als Untersuchungsrichterin des Amtsgerichts“ Döbeln tätig, betont eine Sprecherin des LG Chemnitz. Die Polizei wollte sich von ihr die Beschlagnahme genehmigen lassen.

So sieht es das rechtsstaatliche Vorgehen vor, wenn nicht gerade Gefahr im Verzug ist. Doch hier blieb offenbar Zeit, das Gericht zu kontaktieren und mehrfach zu telefonieren. Doch die Richterin verneinte die Beschlagnahme. Ob eine Gefahr von dem Fahrzeug ausgehe, könne sie aus der Ferne nicht beurteilen, dies sollen die Beamten vor Ort entscheiden. Dies geht aus einer E-Mail der Richterin vom 2. Oktober hervor, die netzpolitik.org vorliegt. Gleich darauf heißt es jedoch, sie sei mit dem entsprechenden Polizeibeamten so verblieben, dass er die Frage rund um die Beschlagnahme am folgenden Montag dem zuständigen Ermittlungsrichter in Döbeln vorlegen solle.

In einem nicht unterschriebenen Aktenvermerk der Polizei vom 20. September heißt es hingegen, die entsprechende Richterin habe die Maßnahme bestätigt. Der leitende Polizeihauptkommissar stellte den Sachverhalt gegenüber dem Amtsgericht Döbeln in einem Fax einen Tag später ähnlich dar. Tatsächlich findet sich in den Akten ein Eintrag, der sich als mündlich gegebenenes Einverständnis der Richterin interpretieren lässt, allerdings sonstigen Aussagen wie jener aus der E-Mail widerspricht.

War hier also Gefahr im Verzug oder nicht? Im ordentlichen Beschluss vom Montag nach den Geschehnissen bejaht dies der zuständige Ermittlungsrichter des Amtsgerichts Döbeln. Aber ein Kontakt zur Bereitschaftsrichterin war in diesem Fall offenbar möglich und hat sogar stattgefunden. Damit erlischt die „Eilkompetenz“ der Behörden, wenn keine neuen Umstände dazukommen. Dann wäre es keine Gefahr im Verzug mehr.

Falls es aber keine Gefahr im Verzug gab, wäre das Vorgehen der Polizei rechtswidrig gewesen. Sie muss sich dann nach der Entscheidung des Gerichts richten. Und zuvor hatte die Richterin die Beschlagnahme ja „verneint“. Dazu gibt es höchstrichterliche Rechtsprechung, unter anderem vom Bundesverfassungsgericht und dem Bundesgerichtshof.

Auf dieses „klare Kompetenzgefüge“ verweist auch der ZPS-Anwalt Arne Klaas. Gefahr im Verzug werde sehr eng verstanden und bestehe nur dann, wenn bereits durch das Einholen der richterlichen Entscheidung die Gefahr eines Beweismittelverlusts begründet wird, so der Jurist. Jedenfalls ende eine etwaige Eilkompetenz dann, wenn der zuständige Ermittlungsrichter mit der Sache „befasst“ wurde.

Das sei der Fall, wenn ihm die Möglichkeit gegeben wurde, in eine erste Sachprüfung einzutreten. „Ab diesem Zeitpunkt ist für eine Eilkompetenz kein Raum mehr“, sagt Klaas. Das gelte natürlich erst recht, wenn der Ermittlungsrichter in der Sache entscheidet. Dann können sich die Strafverfolgungsbehörden nicht unter Berufung auf die eigene Eilkompetenz über die richterliche Entscheidung hinwegsetzen.

Falschinformation an Medien

Wie in Aktenvermerk und Fax kommunizierte die Polizei Chemnitz den Fall auch gegenüber Medien so, als habe es eine richterliche Zustimmung gegeben. In der Polizei-Pressemitteilung zum CSD Döbeln hieß es: „Eine richterliche Bestätigung der Beschlagnahme des Fahrzeugs wurde eingeholt und das Fahrzeug abgeschleppt.“ Medien wie die Dresdner Neuesten Nachrichten oder die Boulevard-Publikation Tag24 übernahmen diese Darstellung.

Vor Ort sei auch der Künstler:innengruppe gesagt worden, die Ermittlungsrichterin hätte zugestimmt. Kurzfristig nachprüfen konnten die Künstler:innen dies allerdings nicht, die Polizei verweigerte laut ZPS den Kontakt: „Dann wurden wir gewaltsam aus dem Bus gedrängt. Heute wissen wir warum: Die Polizei hat wohlwissend und absichtlich außerhalb geltenden Rechts operiert und diese Beschlagnahme rechtswidrig gegen die Entscheidung der Richterin durchgeführt“, kommentiert ZPS-Sprecher Stefan Pelzer gegenüber netzpolitik.org. Der Vorgang entwickele sich täglich weiter zu einem Polizeiskandal, so der Aktionskünstler.

Verfahrensherrin umgangen

Doch nicht nur hier ist das Vorgehen fragwürdig: Der handelnde Polizist Ringo S. stellte den Antrag auf Beschlagnahme beim Amtsgericht in Döbeln in seiner Funktion als Polizeihauptkommissar der Polizeidirektion Chemnitz. Verfahrensherrin in so einem Fall ist aber normalerweise die Bußgeldstelle des Landratsamtes Mittelsachsen. Hätte alles seinen ordnungsgemäßen Gang genommen, hätte sie den Antrag auf Beschlagnahme einleiten müssen.

In einem Schreiben vom 2. Oktober an die Vorsitzende Richterin des Landgerichts Chemnitz schreibt der Polizeibeamte, die Umgehung des normalen Dienstweges sei dem Handlungsdruck der Situation geschuldet und ein bedauerliches Versehen. Er habe das Landratsamt von Samstag bis Montag nicht erreicht.

Doch die zuständige Stelle im Landratsamt hatte laut einem Vermerk des Landgerichts Chemnitz mehr als eine Woche später, am 30. September, noch keinen Antrag und noch keine Akten zu Gesicht bekommen. Ein Sprecher des sächsischen Innenministeriums schreibt, in Abstimmung mit der Bußgeldstelle des Landratsamtes erfolge die Vorlage der Akte nach Abschluss der polizeilichen Ermittlungen.

Dienstaufsichtsbeschwerde zurückgewiesen

Konsequenzen hatte all das bislang nicht. Eine Dienstaufsichtsbeschwerde wurde jüngst zurückgewiesen. „Nach Prüfung der Sach- und Rechtslage auf der Grundlage des derzeitigen Erkenntnisstandes ist das Handeln der Polizeibeamten des Freistaates Sachsen im Zusammenhang mit dem ‚Adenauer SRP+‘ Bus am 20. September 2025 nicht zu beanstanden“, teilte die Polizei Sachsen dem ZPS am vergangenen Montag mit und bestätigt dies gegenüber netzpolitik.org: „Das Verhalten beziehungsweise Handeln des Polizeibeamten gab keinen Grund zur Beanstandung.“

Ausgestanden ist die Sache für die Polizei jedoch noch nicht. Anhängig ist etwa eine Beschwerde vor dem Landgericht Chemnitz. Dort soll das Verfahren klären, ob die Beschlagnahme des Busses und der zugehörige Beschluss rechtens waren. Dabei wird allerdings Geduld gefragt sein. Da der Bus zwischenzeitlich zurückgegeben wurde und die Beschlagnahme beendet ist, werde die „Beschwerde nicht so dringlich zu behandeln“ sein wie sonstige bei der 2. Großen Strafkammer anhängige Haftsachen, sagt eine Pressesprecherin des Gerichts. „Mit einer kurzfristigen Entscheidung ist daher nicht zu rechnen.“

Auf dieses Verfahren verweisen auch die Pressestellen des sächsischen Innenministeriums und der Polizei. Weiter äußern wollen sie sich dazu ebenfalls nicht. Angesprochen auf mutmaßliches Fehlverhalten der Polizei heißt es lediglich: „Die Fragen betreffen ein beim Landgericht Chemnitz laufendes Beschwerdeverfahren.“

Wer gab dem rechten Youtuber interne Details der Dekra-Untersuchung?

Der Fall könnte noch weitere Kreise ziehen. So deuten die Ermittlungsakten, die nicht das vollständige Dekra-Gutachten, aber eine „Handreichung“ der Prüforganisation enthalten, darauf hin, dass der rechte Youtuber Maurice Klag interne Informationen aus der Dekra-Untersuchung bekommen haben könnte.

Bis zum Erscheinungszeitpunkt eines Videos auf seinem Kanal „Politik mit Kopf“ war nirgendwo öffentlich bekannt, dass die Traglast des Daches des Adenauer-Busses Thema der Dekra-Untersuchung war. Ebenfalls nicht öffentlich bekannt war, dass die Dekra Chemnitz die bis dahin vorliegenden Gutachten zur Traglast des Busses anzweifelte.

Doch genau das thematisierte Klag in Videos auf YouTube und TikTok, wenn auch in anderen Worten als in der netzpolitik.org vorliegenden Dekra-Handreichung. Klag dankte der Polizei für ihren Einsatz, das TikTok-Video überschrieb er mit: „Der Polizeibericht liegt vor.“ Wer welche internen Informationen weitergab, lässt sich bislang jedoch nicht rekonstruieren.

Die Dekra sagt auf Anfrage von netzpolitik.org, dass sie keine Details nach außen gegeben habe. Auch die Polizei Chemnitz dementiert, Informationen durchgestochen zu haben: „Seitens der Polizei wurden keine weiteren Veröffentlichungen über die bekannten Medieninformationen hinaus getätigt“, so Jana Ulbricht, Sprecherin der Polizei Chemnitz. Gegenüber der Freien Presse (€) sagte sie zudem über das Video: „Es scheint sich durch den ganzen Beitrag zu ziehen, dass man hier und da etwas aufgeschnappt und offensichtlich zusammengeschnitten hat.“ Die angeblichen Fakten seien falsch, ihre Herkunft unklar.

Der Youtuber spricht in seinem Video etwa davon, dass die Gutachter beim Hersteller nachgefragt und eine Dachlast von „Null Kilo“ als Antwort bekommen hätten. Das geht nicht aus den Unterlagen der Dekra hervor. Die schreibt aber in ihrem Kurzgutachten, dass keine geeigneten Nachweise vorlägen, anhand derer die zulässige Dachlast des Fahrzeuges ableitbar sei.

Staatsschutz-Ermittlungen gegen Unterstützer:innen der Künstler

Auf die Beschlagnahme reagierte das ZPS in gewohnt provokanter Manier, attackierte den Polizeibeamten Ringo S. und veröffentlichte Videos der Polizeimaßnahme in sozialen Medien.

In sozialen Medien protestierten manche Nutzer:innen gegen das Vorgehen der Polizei – und könnten deshalb nun selbst Probleme mit der sächsischen Polizei bekommen. Dort ist inzwischen ein vierköpfiges Team damit beschäftigt, um gezielt gegen Beleidigungen und ähnliche Delikte zu den Geschehnissen in sozialen Medien vorzugehen.

Mehr als 200 Kommentare soll die Polizei nach der sächsischen Beschlagnahme des Busses laut eigenen Angaben aufgespürt haben, bei denen der Anfangsverdacht einer Straftat bestehe. In dutzenden Verfahren ermittelt sie nun unter anderem wegen Beleidigung, Bedrohung, übler Nachrede, der Androhung von Straftaten oder auch wegen Verstößen gegen das Kunsturhebergesetz. Auf die Frage, welche der Delikte wie häufig vorgekommen wären, hatte die Polizei Chemnitz zuletzt nicht geantwortet.

Im Visier dieser mutmaßlichen Straftaten steht auch jener Polizeihauptkommissar, der die Verkehrskontrolle geleitet hatte. Ihn, der bereits aus Fernseh-Sendungen bekannt war, nahm das Zentrum für politische Schönheit in Instagram-Posts und in ihrer Kommunikation besonders aufs Korn.

Die Ermittlungen wegen des mutmaßlichen Verstoßes gegen das Kunsturheberrecht und wegen Verletzung der Vertraulichkeit des Wortes dürften sich deswegen gegen das Zentrum für politische Schönheit selbst richten. Die Polizei Chemnitz hat auf eine entsprechende Presseanfrage, ob diese Straftaten die Videos der Aktionskünstler betreffen, nicht geantwortet.

Freudengeheul und Gewaltaufrufe

Die Beschlagnahme des Busses löste in rechten Medien und rechtsradikalen Kreisen regelrechtes Freudengeheul aus. Zahlreiche Postings und Videos in sozialen Medien beschäftigen sich mit der Maßnahme der Chemnitzer Polizei, darunter auch Gewaltdarstellungen.

Während die Polizei in Chemnitz gegen vermeintliche Unterstützer:innen des Protestbusses ermittelt, wird unter dem Video von Maurice Klag zu Straftaten gegen das Zentrum für politische Schönheit aufgefordert. „Warum habt ihr die Dreckskarre nicht längst abgefackelt?“, fragt einer, während ein anderer fordert: „Redet nicht so viel, bei nächster Gelegenheit eine Drohne mit 10 kg Semptex und der Bus schläft mit seinen Terroristen.“ Unter einem weiteren Video zur Beschlagnahme des Busses schreibt jemand: „Nehmt einen Kanister Benzin. Und der Bus hat sich erledigt ich geb auch noch ein Feuerzeug.“

Es sind nur einige Beispiele von vielen, die netzpolitik.org nach kurzer Recherche gefunden hat. Auf die Presseanfrage von netzpolitik.org, ob auch gegen diese mutmaßlichen Straftaten im Zusammenhang mit dem Adenauer-Bus ermittelt wird, antwortet die Polizei: Im Rahmen der Ermittlungen seien zahlreiche Kommentare und Posts im Zusammenhang mit verschiedenen Veröffentlichungen, die sich in der Hauptsache gegen den die Kontrolle durchführenden Polizeibeamten richteten, gesichert worden. Gleichwohl hätten sich nicht alle Posts auf den Beamten bezogen. Aus „ermittlungstaktischen Gründen“ könne man nicht mehr sagen.

Und der Bus selbst? Der ist inzwischen wieder ganz offiziell fahrtauglich. Eine Dekra-Stelle in Mecklenburg-Vorpommern hat das Fahrzeug Mitte Oktober untersucht und konnte keine Mängel feststellen. Allzu viel war dafür nicht notwendig, sagt das ZPS zu netzpolitik.org: Der Bus sei „ohne technische Änderungen“ in die Überprüfung gegangen.