In der Datenbank PostgreSQL klaffen mehrere Sicherheitslücken, die Angreifern etwa das Einschmuggeln von SQL-Befehlen ermöglichen. Aktualisierte Software steht bereit. IT-Verantwortliche sollten rasch updaten.

Die Entwickler von PostgreSQL schreiben in einer Versionsankündigung, dass die neu verfügbaren Fassungen 18.4, 17.10, 16.14, 15.18 und 14.23 insgesamt elf Schwachstellen ausbessern. Mehrere davon schrammen an der Einordnung als kritisches Sicherheitsleck nur sehr knapp vorbei. Ein Integer-Unterlauf in mehreren Funktionen ermöglicht Angreifern, zu kleine Speicherbereiche zu allokieren und außerhalb der vorgesehenen Speichergrenzen zu schreiben – das führt zu Segmentierungsfehlern (Abstürzen) (CVE-2026-6473, CVSS 8.8, Risiko „hoch“). Ein Origin-Superuser kann aufgrund einer Linkverfolgungsschwachstelle in pg_basebackup und in pg_rewind lokale Dateien wie „/var/lib/postgres/.bashrc“ überschreiben und damit das Konto im Betriebssystem übernehmen (CVE-2026-6475, CVSS 8.8, Risiko „hoch“). Eine weitere Lücke ermöglicht Server-Superusern, Client-Speicher auf dem Stack zu überschreiben (CVE-2026-6477, CVSS 8.8, Risiko „hoch“).

Schließlich ermöglicht ein Stack-basierter Pufferüberlauf in refint Datenbanknutzern mit geringen Rechten, beliebigen Code als der Datenbank-User im Betriebssystem auszuführen, außerdem ist eine SQL-Injection-Attacke möglich (CVE-2026-6637, CVSS 8.8, Risiko „hoch“). Zwei weitere Schwachstellen stufen die Entwickler als hohes Risiko ein, vier als mittleren Bedrohungsgrad und eine noch als niedriges Risiko.

Zahlreiche Bugfixes

Neben den elf Schwachstellen korrigieren die Entwickler in den aktualisierten Paketen auch noch mehr als 60 Fehler. Die Versionsankündigung listet 24 davon auf, die insbesondere PostgreSQL 18 betreffen. Auf der Download-Seite des PostgreSQL-Projekts finden sich aktuelle Installer-Pakete für die wichtigen Betriebssysteme und gleich mehrere Linux-Distributionen.

(dmk)

Auf dem Katholikentag in Würzburg hat Friedrich Merz (CDU) eine Wende in der Debatte um soziale Medien und Alterskontrollen angedeutet. Auf die Frage nach seiner Position zum Social-Media-Verbot („Sind Sie dafür?“) sagte der Bundeskanzler: „Nein. Ich bin der Meinung, dass wir die Frage behandeln müssen, ob wir die Plattformen besser regulieren.“

Hintergrund sind internationale Forderungen, dass junge Menschen nach australischem Vorbild keine sozialen Medien mehr nutzen sollen. Ein entsprechendes Verbot wollen hochrangige Politiker*innen in Deutschland und der EU, darunter Familienministerin Karin Prien (CDU), der französische Präsident Emmanuel Macron und EU-Kommissionspräsidentin Ursula von der Leyen (CDU).

Noch im Februar hatte der Kanzler im Podcast Machtwechsel „viel Sympathie“ für ein Verbot geäußert. Auf ein klares Ja zum Social-Media-Verbot bis 14 Jahre hatte sich die CDU per Parteitagsbeschluss kurz darauf geeinigt. Im April war der Kanzler Gast bei einem von Macron einberufenen virtuellen Gipfeltreffen von Befürworter*innen des Verbots in der EU.

„Hundertprozentige Zustimmung“ – aber wofür?

Dem entgegen steht das jüngste „Nein“ des Kanzlers auf dem Katholikentag am 15. Mai. Mit seinem Verweis auf „bessere“ Regulierung nähert sich Merz den Kritiker*innen eines Verbots an, die digitale Räume lieber sicherer machen wollen, statt junge Menschen auszusperren. In diese Richtung gehen Positionen von Fachleuten für unter anderem Kinderschutz, Medienpädagogik, Privatsphäre und IT-Sicherheit. Klappen soll das mit strengeren Regeln, etwa für algorithmisch sortierte Feeds oder manipulative Designs.

Zur Begründung seiner Position sagt der Kanzler:

Wie gehen wir so damit um, dass gerade Kinder und Jugendliche in ihrer wichtigsten Zeit, in der sie […] fürs Leben geprägt werden, so auch auf einen guten Weg gebracht werden, dass sie ihr Leben meistern können? Und wenn Social Media dazu beiträgt: hundertprozentige Zustimmung. Aber es gibt auch Risiken. Und über diese Risiken müssen wir sprechen.

Aus dem Zitat geht nicht klar hervor, wofür der Kanzler „hundertprozentige Zustimmung“ hat. Anscheinend hat es etwas mit dem Beitrag sozialer Medien fürs Leben junger Menschen zu tun. Im Kern verweist Merz an dieser Stelle jedenfalls auf Risiko-basierte Regulierung – das Gegenstück zu pauschalen Verboten. Dieses Modell verfolgt die EU etwa mit dem Gesetz über digitale Dienste (DSA) und mit Plänen für ein Gesetz über digitale Fairness (DFA).

Zustimmung für seine Aussage bekam Merz direkt auf der Bühne von Lisa Quarch, Theologin beim Bund der Deutschen Katholischen Jugend (BDKJ). Der Bund lehnt ein Social-Media-Verbot ab. Quarch pochte auf „Ausgewogenheit zwischen Teilhabe und Schutz“, woraufhin der Kanzler mehrfach nickte.

Merz sendet verschiedene Signale

Eine eindeutige Position lässt sich aus den Aussagen des Kanzlers vom Katholikentag allerdings nicht ableiten. Denn an anderer Stelle stärkt Merz die Forderung nach Altersgrenzen:

Wir haben eine Diskussion über die Frage Altersbegrenzung und Zugänge zu bestimmten Plattformen. Ich glaube, dass wir da auf dem richtigen Weg sind. Natürlich kann man alles umgehen. Aber wenn wir immer nur danach gehen, was man alles umgehen kann, dann können wir nichts mehr machen.

Merz versucht hier, ein zentrales Argument der Verbots-Gegner*innen zu entkräften: Dass Verbote keine Wirkung hätten, weil junge Menschen sie umgehen würden. Unklar ist, was Merz mit dem „richtigen Weg“ meint. Denn die Debatte um Altersbegrenzung geht in mehrere Richtungen. Viele prominent vorgebrachte Positionen sind nicht schlüssig oder ambivalent. EU-Kommissionspräsidentin von der Leyen spricht inzwischen von „Aufschub“ statt „Verbot“ – meint jedoch das gleiche.

Was die Kommentare des Kanzlers zur Debatte mindestens zeigen: Die Meinungsbildung in der Bundesregierung geht weiter. Während der Kanzler verschiedene Signale sendet, hat sich die SPD-Fraktion im Bundestag im April für ein Social-Media-Verbot ausgesprochen. CSU-Politiker wie Markus Söder lehnen das Vorhaben jedoch ab. Noch im April hatte die Bundesregierung mitgeteilt, sie habe noch keine Position. Bis zum Sommer sollen Fachleute in Deutschland und auf EU-Ebene Empfehlungen für digitalen Kinder- und Jugendschutz vorlegen.

Der IT-Sicherheitsforscher, der bereits die Schwachstellen „RedSun“, „UnDefend“ und „BlueHammer“ vorgeführt hatte, legt mit weiteren Veröffentlichungen von Sicherheitslücken in Windows nach. „NightmareEclipse“ (GitHub) oder „Chaotic Eclipse“ (Blogspot) hat mit „YellowKey“ eine schwere Sicherheitslücke in BitLocker-Laufwerksverschlüsselung von Windows aufgespürt. Außerdem hat er eine weitere Rechteausweitungslücke „MiniPlasma“ in einem Windows-Treiber entdeckt.

Im „Windows Cloud Files Mini Filter“ hatte Microsoft bereits im Jahr 2020 versucht, eine Rechteausweitungslücke zu stopfen (CVE-2020-17103, CVSS 7.0, Risiko „hoch“). Unklar ist, ob der Patch irgendwann zurückgezogen wurde oder Microsoft ihn schlicht nicht verteilt. Jedenfalls ist die Schwachstelle – die Googles Project Zero damals gemeldet hatte – noch immer angreifbar. Der Proof-of-Concept-Exploit (PoC) auf GitHub soll vorführen, wie Angreifer sich damit SYSTEM-Rechte verschaffen, aber auch Googles alter PoC funktioniert demnach noch immer.

BitLocker beliebig entsperren mit lokalem Zugriff

Etwas mehr Kopfzerbrechen bereitet die „YellowKey“-Schwachstelle in BitLocker. Wie für die kürzlich bekannt gewordene, auf BitUnlocker basierende Attacke ist lokaler Zugriff nötig. Allerdings reicht dafür ein einfacher USB-Stick aus. Auf den kopieren Angreifer den Ordner „\System Volume Information\FsTx“. Das Dateisystem muss dazu mit Windows kompatibel sein, also etwa FAT, FAT32, exFAT oder NTFS. Diesen Stick steckt man nun an einen Rechner mit aktiviertem BitLocker. Durch Gedrückthalten der Shift-Taste beim Start muss das System in die Windows-Wiederherstellungsumgebung booten. Darin klicken Angreifer auf Restart und halten statt der Shift-Taste nun die Taste Strg gedrückt. Das startet eine Shell mit uneingeschränktem Zugriff auf das eigentlich von BitLocker geschützte Laufwerk. Das soll unter Windows 11 und Server 2022 sowie 2025 funktionieren, die Windows-Wiederherstellungsumgebung von Windows 10 ist nicht betroffen. Was bei den BitUnlocker-abgeleiteten Angriffen hilft – eine Umgebung, die auf die Eingabe einer PIN vor dem Entschlüsseln und TPM-Schutz setzt –, ist hier offenbar wirkungslos, schreibt *Elipse in einem Blog-Beitrag.

Der IT-Sicherheitsexperte Will Dormann hat den Exploit getestet und berichtet auf Mastodon von seinen Schlüssen. Ihm zufolge ist etwa das Drücken und Halten von Strg nicht nötig, um in die Shell mit BitLocker-Laufwerk-Zugriff zu gelangen. Die genaue Funktionsweise ist derzeit noch immer unklar, aber es sieht so aus, als ob sich mit dem „\System Volume Information\FsTx“Ordner eines Laufwerks (der zu Transactional NTFS gehört) die Inhalte von anderen Laufwerken freischalten lassen. Ein User-Bericht unter Dormanns Beitrag deutet jedoch darauf, dass bei ihm das C-Laufwerk freigegeben wurde, das D-Laufwerk hingegen nicht.

In dem Blog-Eintrag schreibt *Eclipse außerdem, dass Microsoft eine der gemeldeten Schwachstellen anscheinend still und heimlich korrigiert hat. Die „RedSun“-Schwachstelle von Mitte April verschafft Angreifern Adminrechte. Die ist mit den Updates zum Patchday der vergangenen Woche offenbar gefixt worden – ohne etwa einen CVE-Schwachstelleneintrag.

(dmk)