In den Malware-Schutzprogrammen der Marken Avast und AVG stand eine als kritisch eingeordnete Sicherheitslücke offen. Die ist inzwischen geschlossen, ebenso eine weitere, weniger schwerwiegende in Avast Free Antivirus.

Jetzt hat der Hersteller Gen Digital, der mit der Marke NortonLifeLock als CNA eingetragen ist und CVE-Einträge erstellen kann, Schwachstelleneinträge dazu veröffentlicht. Demnach fand sich im gemeinsamen Code von Avast und AVG für den Kernel-Treiber der Sandbox ein Double-Fetch in der Windows-Version, den lokale Angreifer zum Ausweiten ihrer Rechte hätten missbrauchen können (CVE-2025-13032, CVSS 9.8, Risiko „kritisch„). Betroffen waren die Versionen vor 25.3. Die hat der Hersteller offenbar am 9. April veröffentlicht, wie einem Foreneintrag dazu zu entnehmen ist. Allerdings ist dort lediglich von „Korrekturen, um Produktstabilität und Performance zu erhöhen“ die Rede – transparent von einer kritischen Sicherheitslücke spricht der Anbieter hingegen nicht.

In der kostenlosen Software Avast Free Antivirus fand sich zudem eine nicht näher erläuterte „Kollision im MiniFilter-Treiber“. Lokale Angreifer mit Admin-Rechten hätten damit den Echtzeitschutz und Verteidigungsmechanismen der Schutzsoftware deaktivieren können (CVE-2025-10905, CVSS 4.4, Risiko „mittel„). Die Entwickler haben den sicherheitsrelevanten Fehler mit Version 25.9 korrigiert. Die verteilt Gen Digital seit Mitte September, verrät ein Foreneintrag – ebenfalls lediglich mit der nichtssagenden Erklärung „Korrekturen, um Produktstabilität und Performance in diversen Komponenten zu erhöhen“.

Zusammengelegter Code

Unter dem Dach Gen Digital sind die Antivirus-Marken Avast, Avira, AVG und Norton/Symantec aufgegangen. Zumindest bei der Übernahme von AVG durch Avast wurden Codeteile rausgeworfen und zusammengeführt, sodass unter den leicht angepassten Bedienoberflächen mit unterschiedlichen Marken faktisch weitgehend dieselbe Codebasis läuft. Wahrscheinlich sieht das auch mit Codebestandteilen von Avira und Norton ähnlich aus. Daher betrifft eine Schwachstelle in der Regel gleich mehrere Produkte von Gen Digital.

Die Sicherheitslücken können aufgrund der automatischen Update-Mechanismen in der Regel zügig geschlossen werden – sofern Nutzer sie nicht deaktiviert haben, was etwa in Unternehmensnetzen passieren kann oder was in Inselnetzen Usus ist. Dort sind IT-Verantwortliche auf zeitnahe Informationen zu Schwachstellen zum zügigen Verteilen der Updates angewiesen. Dass Informationen zu einer Lücke erst über ein halbes Jahr später veröffentlicht werden, nachdem sie geschlossen wurde, ist vor diesem Hintergrund für Admins eigentlich inakzeptabel.

Im Mai wurden zuletzt Sicherheitslücken in einigen Produkten von Gen Digital bekannt. Weitergehende Informationen als verwundbare Komponenten und Versionen gab der Hersteller damals ebenfalls nicht heraus.

(dmk)

Auch Intel hat eine Reihe an Sicherheitsmeldungen in der Nacht zum Mittwoch veröffentlicht. Von den 30 Sicherheitsmitteilungen behandeln sieben Schwachstellen, die der Chiphersteller als hochriskant einstuft. Admins und Nutzerinnen sowie Nutzer sollten die dafür bereitstehenden Aktualisierungen zügig anwenden.

Unter anderem sticht die Intel PROset / Wireless WiFi Software heraus. Darin klaffen gleich sechs Sicherheitslücken, die Angreifern einen Denial-of-Service ermöglichen. Die Schwachstellen CVE-2025-35971, CVE-2025-30255, CVE-2025-35963 und CVE-2025-33029 erreichen mit einem CVSS4-Wert von 8.3 das Risiko „hoch„. Betroffen sind diverse Intel-WiFi-Produkte und Prozessoren mit integrierten Drahtlos-Funktionen; der Treiber für Windows in Version 23.160 und neuere Fassungen stopfen die Sicherheitslecks. Sie stehen auf einer Download-Seite von Intel zum Herunterladen bereit.

In der Firmware und Software von Intels Grafikhardware finden sich ebenfalls teils hochriskante Sicherheitslecks. Angreifer können durch eine Schwachstelle in der Firmware zu Intels Arc-B-Serie-GPUs sowie in den Treibern der Intel-Arc-Grafik ihre Rechte im System ausweiten (CVE-2025-32091, CVSS4 8.4, Risiko „hoch„). Weitere Lücken in den Treibern für Intels Arc-, Arc-Pro- und Iris-Xe-Grafikmodule ermöglichen ebenfalls eine Rechteausweitung (CVE-2025-31647, CVSS4 5.4, Risko „mittel„) oder einen Denial of Service (CVE-2025-25216, CVSS4 2.0, Risiko „niedrig„). Intel stellt das Update auf die Treiberversion 32.0.101.6913 für Intel Arc-und Irix-Xe bereit. Für Intel Arc Pro steht die Fassung 32.0.101.6862 bereit. Intel empfiehlt zudem, die Intel-LTS-Kernel-Software auf den aktuellen Stand zu bringen.

Weitere hochriskante Schwachstellen

In Intels UEFI-Referenz-Plattform kann aktiver Debug-Code zur Ausweitung der Rechte oder für Denial-of-Service-Attacken missbraucht werden. Das betrifft Intel Xeon 6 mit E-Cores (Sierra Forest) sowie mit P-Cores (Granite Rapids). Die Systemanbieter haben Zugriff auf die jüngsten Aktualisierungen und sollten die an Kunden verteilen. (CVE-2025-30185, CVSS4 8.3, Risiko „hoch„).

Weitere Sicherheitsmeldungen, die Admins zeitnah in der Update-Planung berücksichtigen sollten:

23 weitere Schwachstellen-Meldungen hat Intel im Security-Center veröffentlicht. IT-Verantwortliche sollten prüfen, ob sie verwundbare Produkte einsetzen und die bereitgestellten Aktualisierungen installieren.

(dmk)

Was soll der Militärische Abschirmdienst künftig dürfen und warum können die Feldjäger der Bundeswehr nicht rechtssicher eine Straße sperren? Die Themenbreite bei einer Sachverständigenanhörung im Verteidigungsausschuss des Bundestags war groß, es ging um den Entwurf eines Gesetzes „zur Stärkung der Militärischen Sicherheit in der Bundeswehr“. Der enthält sowohl Änderungen bei der Sicherheitsüberprüfung von Soldat:innen als auch ein komplett neues MAD-Gesetz – die Grundlage der militärgeheimdienstlichen Arbeit in Deutschland.

Sechs Fachleute – vom Generalleutnant außer Dienst bis zum Verfassungsrechtler – waren sich einig, dass eine Reform der Gesetzesgrundlagen für den MAD überfällig ist. Auch weil die Neuregelung Klarheit schafft. Denn bislang liest sich das MAD-Gesetz kompliziert.

Es verweist großflächig auf das Verfassungsschutzgesetz und so klingen die rechtlichen Grundlagen an vielen Stellen so: „Die §§ 8a und 8b des Bundesverfassungsschutzgesetzes sind mit der Maßgabe entsprechend anzuwenden, dass an die Stelle der schwerwiegenden Gefahren für die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes genannten Schutzgüter schwerwiegende Gefahren für die in § 1 Absatz 1 genannten Schutzgüter und an die Stelle des Bundesministeriums des Innern, für Bau und Heimat das Bundesministerium der Verteidigung treten.“

Das ist weder gut verständlich noch geht es auf besondere Umstände für einen Militärgeheimdienst ein.

Ein Fortschritt zum Ist-Zustand

Und so war das Echo der Fachleute recht positiv. Der Professor für Öffentliches Recht Matthias Bäcker, der bereits mehrfach gegen Polizei- und Geheimdienstgesetze vors Bundesverfassungsgericht gezogen war, nannte den Entwurf einen großen „Fortschritt im Vergleich zum aktuellen Gesetz“.

Markus Löffelmann, Professor für Sicherheitsrechte an der Hochschule des Bundes für öffentliche Verwaltung, resümierte, der Entwurf schaffe „Praktikabilität“ für den MAD und sei „fast vorbildlich“.

Kritik gab es von mehreren der Sachverständigen jedoch am unvollständigen Katalog der „nachrichtendienstlichen Mittel“, die dem MAD erlaubt sein sollen. In Paragraf 8 des Gesetzentwurfs finden sich 15 Punkte wie „verdeckte Nachforschungen und verdeckte Befragungen“ oder „Einsatz virtueller Agenten bei der Aufklärung im Internet“. Braucht der MAD weitere Befugnisse, die ähnlich eingriffsintensiv wie die bereits gelisteten sind, soll das künftig über eine Dienstvorschrift geregelt werden können – die bei Geheimdiensten in der Regel geheim bleibt.

Eine „Erweiterung im Verborgenen ist untunlich“, kritisierte in der Anhörung etwa Christian Sieh vom deutschen Bundeswehrverband. Bäcker wies darauf hin, dass sich in einigen Landesverfassungsschutzgesetzen abschließende Befugniskataloge finden. Gerade wegen der Heimlichkeit der Maßnahmen sei es geboten, die Befugnisse „rechtlich in abstrakt genereller Weise abschließend auszuführen“. Werden Befugnisse konkretisiert, dann sollte dies nicht mittels einer geheimgehaltenen Dienstvorschrift erfolgen, sondern im Zweifel in einer öffentlich einsehbaren Verordnung.

Auch Informationen aus öffentlichen Quellen können sensibel sein

Zu weit gingen einigen ebenso die Regelungen aus Paragraf 4, wonach der MAD „personenbezogene Daten aus öffentlich zugänglichen Quellen automatisiert erheben“ können soll. Laut Löffelmann bestehe da noch „viel Diskussionsbedarf“. Ihm gehen die Befugnisse zu weit, da auch Datenerhebungen aus öffentlichen Quellen einen Eingriff in die Rechte der Betroffenen darstellen würden.

Bäcker gab ebenfalls zu Bedenken, dass die Regel der“großen Sensibilität der Daten nicht Rechnung“ trage. Gerade weil Personen etwa in Sozialen Medien viel über sich preisgeben. „Da können sie die Person nackt machen“, so Bäcker. „Es ist nicht ausgeschlossen, dass ein Nachrichtendienst das mal tut. Aber der muss an strenge Regeln gebunden werden.“ In seiner Stellungnahme führt Bäcker aus, die Regelung verfehle „die verfassungsrechtlichen Anforderungen“.

Seiner Auffassung nach brauche es einen „qualifizierten nachrichtendienstlichen Verdacht“, um die Ausforschung einer Person zu rechtfertigen – selbst wenn sie mit öffentlich zugänglichen Informationen geschehe. Er empfiehlt, die sogenannten Open-Source-Intelligence-Maßnahmen differenzierter zu regeln.

Das neue MAD-Gesetz hat eine große Bedeutung

Die Neuregelung des MAD-Gesetzes dürfte sich auf weit mehr Bereiche auswirken als den Militärgeheimdienst selbst. Denn sie ist der Auftakt für eine etwa durch Verfassungsgerichtsurteile notwendig gewordene Reform auch anderer Geheimdienstgesetze. Die will Schwarz-Rot bald angehen.

Dass die Bundesregierung nicht alle Gesetze für die drei Bundesgeheimdienste MAD, BND und Verfassungsschutz parallel erarbeitet, kritisierte Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, gegenüber netzpolitik.org: Statt die Reform ganzheitlich für alle drei Nachrichtendienste des Bundes anzugehen, legt man nun mit der Reform des MAD-Gesetzes nur einen Teil der Reform vor.“

Es kann also entweder passieren, dass das MAD-Gesetz im Zuge der allgemeinen Geheimdienstreform nach der Verabschiedung erneut überarbeitet wird. Oder aber dass Mechanismen, die nun im MAD-Gesetz landen, als Blaupause für weitere Reformen gelten.

Was dürfen die Feldjäger:innen?

Trotz der dadurch fundamentalen Bedeutung der Reform konzentrierten sich große Teile der Anhörung jedoch auf andere Aspekte des „Gesetzes zur Stärkung der Militärischen Sicherheit in der Bundeswehr“. Das enthält nämlich zusätzlich Regelungen für eine veränderte Sicherheitsüberprüfung von Soldat:innen. Bewerber:innen für die Bundeswehr sollen demnach zunächst nur noch einer Verfassungstreueprüfung unterzogen werden. Kritik gab es daran, dass der Bundestag aktuell an anderer Stelle über Änderungen des Sicherheitsüberprüfungsgesetzes debattiert und beide Änderungen nicht gemeinsam betrachtet würden.

Sehr viel Aufmerksamkeit in der Verteidigungsausschusssitzung bekamen ebenfalls die Feldjäger:innen. Besonders Oberstabsfeldwebel Ronny Schlenzig beklagte, dass auch mit dem neuen Gesetz die Militärpolizei der Bundeswehr keine Verkehrsregelungsbefugnisse bekommen sollen. Außerdem dürften sie künftig weiterhin keine Durchsuchungen oder Beschlagnahmungen durchführen, wenn jemand vor der Kaserne eine Drohne lenkt. Diese Aufgaben der örtlichen Polizei zu überlassen sei für ihn keine praktikable Option, Probleme mit Aufgabenvermischung gebe es laut Schlenzig nicht.