Von vielen unbemerkt hat Google für den Webbrowser Chrome in der Nacht zum Mittwoch ein Update veröffentlicht. Zunächst war die Versionsankündigung leer. In der Nacht zum Donnerstag haben die Entwickler jedoch nachgelegt – es handelt sich um ein wichtiges Sicherheitsupdate.

In der Releaseankündigung schreibt Google inzwischen, dass die Aktualisierung gleich zehn Sicherheitslücken abdichtet. Davon erreichen drei sogar den Schweregrad „kritisch“. Das schlägt sich auch in der gezahlten Belohnung für die Melder nieder: einmal fließen 33.000 US-Dollar, das andere Mal 32.000 US-Dollar; im dritten Fall knobelt das Unternehmen den Betrag noch aus.

Die schwerwiegendsten Lücken betreffen etwa das WebGL-Backend ANGLE. Angreifer aus dem Netz können mit manipulierten Webseiten einen Ganzzahl-Überlauf darin missbrauchen und dadurch auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen (CVE-2026-3536, noch kein CVSS-Wert, Risiko „kritisch“). In PowerVR von Chrome unter Android gibt es nicht näher erläuterte Probleme mit dem Lebenszyklus von Objekten, was in einem missbrauchbaren Speicherfehler auf dem Heap mündet (CVE-2026-3537, noch kein CVSS-Wert, Risiko „kritisch“). Außerdem findet sich in der für nahezu alle Grafikoperationen genutzten Komponente Skia ein Ganzzahlüberlauf mit den bekannten Folgen (CVE-2026-3538, kein CVSS-Wert, Risiko „kritisch“).

Google Chrome: Codeschmuggel-Lücken

Derartige Lücken erlauben oftmals das Ausführen von eingeschleustem Schadcode, was auch die Risikoeinschätzung widerspiegelt. Um die Lücken zu attackieren, muss etwa eine sorgsam präparierte Webseite mit dem Webbrowser angezeigt werden. Immerhin schreibt Google nichts davon, dass die Lücken bereits in freier Wildbahn attackiert würden – das nötigte das Unternehmen etwa Mitte Februar dazu, ein Notfall-Update außer der Reihe zu veröffentlichen.

Sieben weitere Sicherheitslücken haben vergleichbare Folgen, sind aber offenbar schwieriger zu missbrauchen. Deshalb haben die Chromium-Entwickler ihnen als Risikobewertung lediglich das Risiko „hoch“ attestiert. Dennoch sollten Nutzer von Chrome und anderen Chromium-basierten Webbrowsern sicherstellen, dass sie die jüngsten, fehlerkorrigierten Fassungen der Webbrowser einsetzen. Das sind Chrome 145.0.7632.159 für Android und Linux, Version 146.0.7680.38 für iOS sowie Chrome 145.0.7632.159/160 für macOS und Windows. Die Extended-Stable-Fassung ist derzeit in Fassung 144.0.7559.236 für macOS und Windows auf aktuellem Stand.

Updates lassen sich etwa durch den Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste und dem weiteren Pfad über „Hilfe“ – „Über Google Chrome“ finden und gegebenenfalls anwenden. Unter Linux ist dazu in der Regel der Aufruf der Softwareverwaltung der eingesetzten Distribution für die Update-Verteilung aufzurufen. Unter Android und iOS kommen die Aktualisierungen über die jeweiligen App-Stores – steht es dort noch nicht bereit, hilft nur abwarten. Erzwingen lässt sich die Aktualisierung dort nicht. In Kürze dürften auch Aktualisierungen für andere Chromium-basierte Webbrowser wie Microsofts Edge erscheinen, die Nutzer und Nutzerinnen zeitnah installieren sollten.

(dmk)

Wichtige kirchliche Organisationen üben Kritik an einem Social-Media-Verbot für Minderjährige. Jüngst hatte sich die CDU auf ihrem Parteitag auf die Forderung für ein solches Verbot bis 14 Jahre geeinigt.

Ein Verbot ist „die Kapitulation vor dem Problem zulasten junger Menschen“, schreibt Annika Schreiter, Generalsekretärin der Arbeitsgemeinschaft der Evangelischen Jugend in Deutschland (aej), auf Anfrage von netzpolitik.org. „Ein sicheres Internet entsteht nicht durch Ausschluss, sondern durch Regulierung, Bildung und Beteiligung.“

Zuvor hatte sich bereits der Bund der Deutschen Katholischen Jugend (BDKJ) dazu geäußert. „Ein pauschales Social-Media-Verbot als ersten Schritt halten wir nicht für zielführend“, führt Sprecher Christian Toussaint auf Anfrage von netzpolitik.org aus. „Dadurch ginge jungen Menschen ein bedeutsamer Ort verloren, an dem sie ihre Religionsfreiheit praktisch ausüben und eine eigenständige, reflektierte Haltung zu Religion entwickeln können.“

„Pauschale Verbote greifen tief in Religionsausübung ein“

Die Evangelische Kirche in Deutschland (EKD) ergreift auf Anfrage keine klare Position für oder gegen ein Verbot, formuliert jedoch Bedenken: Einerseits gebe es einen „hohen Schutzanspruch“ für junge Menschen, andererseits „greifen pauschale Verbote tief in Fragen der Teilhabe, des Informationszugangs und auch der Religionsausübung ein.“ Für viele junge Menschen seien soziale Medien „wichtiger Teil ihrer Lebenswelt.“

Die deutsche Bischofskonferenz (DBK) erklärt auf Anfrage, dass sie zum Social-Media-Verbot noch keine mit den 27 deutschen Bistümern abgestimmte Auffassung habe. Zurückhaltend äußert sich zumindest das Erzbistum Köln, eines der größten Bistümer Deutschlands. Medienpädagogik gelinge in erster Linie dann, wenn junge Menschen „sukzessive kompetent“ in der Nutzung digitaler Angebote würden.

Das Bistum Köln verweist außerdem auf die persönliche Einschätzung des Seelsorgers und Pfarrers Tobias Schwaderlapp, der dort eine leitende Position für Jugend, Schule und Hochschule innehat. „Ich bin gegen ein Social-Media-Verbot für Jugendliche“, schreibt er. „Ein kategorisches Verbot ist eigentlich ein Breitschwert für ein Problem, das eigentlich ein Skalpell bräuchte.“

CDU lässt Kritik unkommentiert

Wir haben auch Organisationen anderer Glaubensgemeinschaften um eine Einschätzung gebeten. Teils blieb eine Antwort aus; teils teilten Pressesprecher*innen mit, dass es noch keine spruchreife Position gebe.

In Deutschland ist die „ungestörte“ Ausübung der Religion ein Grundrecht. Die Positionen der kirchlichen Organisationen unterstreichen: Junge Menschen üben ihre Religion auch in sozialen Medien aus. Ein Social-Media-Verbot schränkt also auch die Religionsfreiheit ein.

In ihrem Grundsatzprogramm schreibt die CDU: „Aus dem christlichen Menschenbild wird für uns gute Politik, wenn sie von der einzelnen Person ausgeht und individuelle Freiheit mit Verantwortung für andere verbindet.“ Wir wollten von der CDU wissen, welche Rolle sie den Einwänden christlicher Organisationen für ein Social-Media-Verbot beimisst. Die Partei hat unsere Presseanfrage bis Redaktionsschluss nicht beantwortet.

aej: Ausschluss aus „Orientierungsraum“ für Glaubensfragen

Die von netzpolitik.org angefragten Organisationen haben ihre Positionen näher begründet. So schreibt Annika Schreiter für die Arbeitsgemeinschaft der Evangelischen Jugend (aej), junge Menschen suchen in sozialen Medien „Antworten auf alle Fragen ihrer Identitätsfindung – natürlich auch zu Glauben und Religion“. Ein Ausschluss Jugendlicher aus sozialen Medien bedeute „einen Ausschluss aus einem wichtigen Orientierungsraum für Glaubensfragen und damit eine Beschneidung ihrer Möglichkeiten zur freien Persönlichkeitsentwicklung und Teilhabe“.

Gerade das Alter um die Konfirmation herum, also 13 bis 14 Jahre, sei eine wichtige Phase. Durch ein Social-Media-Verbot wären Jugendliche gerade dann „von für sie zentralen Informations- und Austausch-Plattformen abgeschnitten“, so Schreiter. Dennoch seien soziale Medien kein sicherer Ort, auch nicht für Erwachsene. „Wir fordern als aej daher einen wirksamen Jugendmedienschutz, verantwortungsvolle Geschäftsmodelle und klare Regeln für Plattformen.“

Die EKD mahnt in ihrer Antwort zur Sorgfalt. Der Schutz junger Menschen habe Vorrang. „Welche Instrumente diesem Ziel am besten dienen – ob Altersgrenzen, strengere Plattformregulierung, ’safety by design‘ oder verbindliche Medienbildung – ist verantwortungsvoll zu prüfen“, schreibt ein Sprecher.

BDJK: „Lebensort“ für religiöse Bildung

Der Bund der Deutschen Katholischen Jugend beschreibt soziale Medien als einen Raum, in dem junge Menschen „selbstbestimmt und autonom ihren Glauben erproben und neue Perspektiven kennenlernen können“, so Sprecher Toussaint. „Ohne diesen Lebensort würde ein wesentlicher Teil religiöser Bildung wegfallen.“

Wer mit einem Verbot ansetze, greife zu kurz. „Die zentralen Probleme liegen in der Ausgestaltung digitaler Plattformen“, schreibt Toussaint, „in Geschäftsmodellen, die auf maximale Aufmerksamkeit zielen, in unzureichenden Schutzmechanismen und in fehlender konsequenter Regulierung.“ Junge Menschen hätten ein Recht auf digitale Teilhabe und auf wirksamen Schutz in digitalen Räume.

Pfarrer Schwaderlapp aus dem Bistum Köln beschreibt soziale Medien als ambivalent: „Die Risiken für junge Menschen sind immens – der Benefit einer unkomplizierten Kommunikation allerdings auch.“ Kinder- und Jugendschutz müsse „unbedingt ausgebaut werden“, gerade auch im digitalen Raum. Wichtiger als die Debatte über Verbote sei aber eine Debatte über Bildung, also über Medienkompetenz von jungen und erwachsenen Menschen. „Wie helfen wir Eltern, ihrer Verantwortung für Kinder und Jugendliche gerecht zu werden?“

Breite Kritik von Fachorganisationen

Die Stimmen der kirchlichen Organisationen fügen sich in ein Mosaik aus Warnungen und Einwänden. Auch viele weltliche Organisationen wie UNICEF und Kinderhilfswerk, Arbeiterwohlfahrt und Lehrerverband lehnen ein Social-Media-Verbot für Minderjährige ab. Mehr als 400 internationale Forschende aus den Bereichen Technologie, IT-Sicherheit und Privatsphäre wiederum fordern ein Moratorium für Alterskontrollen, die Social-Media-Verbote begleiten.

Weitgehend entkoppelt von solchen Einwänden drängen wichtige Politiker*innen und Parteien weiter auf ein Social-Media-Verbot für Minderjährige, darunter CDU-Bundeskanzler Friedrich Merz, SPD-Vizekanzler Lars Klingbeil oder der französische Ministerpräsident Emmanuel Macron. Entsprechende Vorschläge für Gesetze könnten auf EU-Ebene und auf Deutschland-Ebene kommen. Zuvor sollen jedoch auf beiden Ebenen Kommissionen aus Expert*innen das Thema ausloten. Ergebnisse sollen beide Fachkommissionen bis Sommer vorlegen.

Unter dem Radar der kritischen Öffentlichkeit verhandeln derzeit außerdem EU-Kommission, Parlament und Rat im Trilog zur Einführung von Alterskontrollen für Online-Dienste mit Chatfunktion. Anlass ist die Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, kurz: CSA-VO. Es ist also möglich, dass flächendeckende Alterskontrollen über diesen Umweg bereits vor der Tür stehen.

Behörden aus 14 Ländern, darunter Deutschland, haben das weltweit agierende Datenleak-Forum LeakBase abgeschaltet, die zugehörigen Domains beschlagnahmt und mehrere Personen festgenommen. Das teilte die europäische Polizeibehörde Europol mit, die die Aktion leitete. Mit mehr als 142.000 Mitgliedern gilt die LeakBase-Datenbank als eines der weltweit größten Online-Foren für Cyberkriminelle zum Kauf und Verkauf gestohlener Daten und Tools für Cyberangriffe.

Das seit 2021 aktive und öffentlich zugängliche englischsprachige Forum verfügte nach Angaben der Ermittler über ein riesiges und ständig aktualisiertes Archiv gestohlener Datenbanken mit Hunderten Millionen Zugangsdaten und ermöglichte es Usern, Informationen aus diesen gestohlenen Datenbanken zu verkaufen. Angeboten wurden Kredit- und Debitkartennummern, Bankverbindungsdaten, Benutzernamen und zugehörige Passwörter, sensible Geschäfts- und personenbezogene Daten, die zum Teil bei aufsehenerregenden Cyberangriffen erbeutet wurden.

„Die Zerschlagung dieses Online-Forums stört eine wichtige internationale Plattform, die Cyberkriminelle nutzen, um sensible persönliche Daten, Bank- und Kontodaten zu erlangen und damit Profit zu machen“, sagte der stellvertretende Generalstaatsanwalt A. Tysen Duva von der Strafabteilung des US-Justizministeriums, das ebenfalls in die Ermittlungen involviert war.

Vorgehen in zahlreichen Ländern

Am 3. März führten die Strafverfolgungsbehörden nach eigenen Angaben in mehreren Ländern rund einhundert koordinierte Maßnahmen durch, darunter gegen 37 der aktivsten Nutzer der Plattform. Sie vollstreckten Durchsuchungsbefehle, nahmen Festnahmen vor und befragten Personen in den Vereinigten Staaten, Australien, Belgien, Polen, Portugal, Rumänien, Spanien und dem Vereinigten Königreich. Beamte aus Kanada, Deutschland, Griechenland, dem Kosovo, Malaysia und den Niederlanden unterstützen die Ermittlungen.

Im Rahmen der Operation beschlagnahmten die Behörden die Domain sowie die Datenbank des Forums. Dies ermöglichte die Entanonymisierung mehrerer Nutzer, die glaubten, anonym zu agieren, erklärte Europol in einer Mitteilung. Die Strafverfolgungsbehörden hätten über dieselben Online-Kanäle, die für kriminelle Aktivitäten genutzt wurden, direkten Kontakt zu mehreren Verdächtigen aufgenommen.

„Diese Operation beweist, dass kein Winkel des Internets vor der internationalen Strafverfolgung sicher ist“, sagte Edvardas Šileris, Leiter des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität bei Europol. „Was als dubioser Marktplatz für gestohlene Daten begann, wurde nun zerschlagen, und diejenigen, die sich hinter Anonymität versteckt wähnten, werden identifiziert und zur Rechenschaft gezogen. Dies ist eine klare Botschaft an Cyberkriminelle weltweit: Wer mit gestohlenen Daten anderer handelt, wird von den Strafverfolgungsbehörden gefunden und vor Gericht gestellt.“

(akn)