In den Verarbeitungsroutinen für mehrere Bildformate in Gimp schlummern Schwachstellen, die Angreifer etwa zum Einschleusen und Ausführen von Schadcode missbrauchen können. Dazu reicht das Öffnen manipulierter Bilddateien etwa im GIF-Format aus. Ein Update auf Gimp 3.2.2 schließt die Lücken.

Die Schwachstelleneinträge sind jetzt in der Nacht zum Donnerstag erschienen. Etwa in der ReadJeffsImage-Funktion der GIF-Ladekomponente können Angreifer einen potenziellen Pufferüberlauf missbrauchen, um über die Grenzen eines angelegten Puffers hinauszuschreiben. Das kann möglicherweise zum Ausführen beliebigen Codes beim Verarbeiten sorgsam präparierter GIF-Dateien führen (CVE-2026-6384, CVSS 7.3, Risiko „hoch“). Die Gimp-Entwickler haben die Lücke laut Bugtracker bereits geschlossen.

Weitere Sicherheitsprobleme bei der Dateiverarbeitung

Weitere Sicherheitslücken betreffen Plugins zur Verarbeitung bestimmter Dateiformate. Ein Pufferüberlauf beim Einlesen von „file-seattle-filmworks“-Dateien kann zum Absturz führen (CVE-2026-40919, CVSS 6.1, Risiko „mittel“). Eine präparierte PVR-Image-Datei kann ebenfalls einen Denial-of-Service provozieren (CVE-2026-40918, CVSS 5.5, Risiko „mittel“). Ein Integer-Überlauf kann hingegen beim Lesen von FITS-Bildern auftreten, wodurch ein Null-Byte-Puffer angefordert wird, was zu einem Heap-basierten Pufferüberlauf beim Schreiben von Pixeldaten führt. Auch das kann möglicherweise zum Einschleusen von Schadcode missbraucht werden (CVE-2026-40915, CVSS 5.5, Risiko „mittel“).

Manipulierte ICNS-Bilder könnten lesend auf Speicherbereiche jenseits der vorgesehenen Grenzen aufgrund einer Schwachstelle in der Funktion icns_slurp() zugreifen und so möglicherweise Informationen auslesen (CVE-2026-40917, CVSS 5.0, Risiko „mittel“). Sorgsam präparierte TIM-Bilder können zudem zu einem Denial-of-Service führen, da Gimp beim 4BPP-Dekodieren einen Überlauf erzeugt (CVE-2026-40916, CVSS 5.0, Risiko „mittel“).

Wer die betroffenen Dateiformate GIF, file-seattle-filmworks, FITS, ICNS oder TIM einsetzt, sollte das Update auf Gimp 3.2.2 nun unbedingt nachholen. Die Installationspakete stehen auf der Download-Seite zum Herunterladen bereit.

Gimp 3.2 erschien Mitte März und hatte dabei auch hochriskante Codeschmuggel-Lücken geschlossen.

(dmk)

Jedes Jahr im Frühling veröffentlicht das Bundeskriminalamt die Polizeiliche Kriminalstatistik. Sie wird von Vielen wahrgenommen als genaues Abbild von Kriminalität im Land und dementsprechend oft auch politisch instrumentalisiert. Dabei ist die Polizeiliche Kriminalstatistik (PKS) zuallererst eine Art Arbeitsbericht der Polizei. Sie ist mit Vorsicht zu genießen.

In der PKS werden mutmaßliche Straftaten erfasst, welche die Polizei an die Staatsanwaltschaften weitergibt. Ob diese dann die Verfahren einstellen und ob jemand verurteilt wird, erfahren wir aus dieser Statistik nicht. Wir erfahren auch nicht, ob die Steigerung einer Kriminalitätsart darauf beruht, dass die Polizei ihren Schwerpunkt verlagert hat, die Ermittlungsmethoden besser wurden, das Dunkelfeld sich aufhellt oder Menschen bereitwilliger Straftaten anzeigen.

Zudem gibt es rassistische Einstellungen, die dazu führen, dass bestimmte Bevölkerungsgruppen von der Polizei stärker kontrolliert oder von der Mehrheitsbevölkerung öfter angezeigt werden, was deren Präsenz in der Statistik erhöht. Das alles verzerrt die Polizeiliche Kriminalstatistik.

Polarisierung und Stigmatisierung

Die Statistik steht wegen wegen ihrer Anfälligkeit zur Instrumentalisierung und auch rassistischen Stimmungsmache in der Kritik. „Die polizeiliche Kriminalstatistik ist als Instrument zur Bewertung der Sicherheitslage ungeeignet“, hieß es in einem offenen Brief (PDF), den zahlreiche Menschenrechtsorganisationen und Kriminolog:innen vergangenes Jahr unterzeichnet haben. Vielmehr trage die Statistik zur Polarisierung der Gesellschaft und Stigmatisierung bestimmter Bevölkerungsgruppen bei, so die Unterzeichnenden.

Das Medienhaus Correctiv hat nun beliebte Mythen und Instrumentalisierungen rund um die Kriminalstatistik einem Faktencheck unterzogen. Der Artikel weist zum Beispiel darauf hin, dass eine Verbindung von polizeilicher Statistik und Justizstatistiken überfällig wäre. Dann könnte man nachvollziehen, wie häufig aus der polizeilichen Erfassung als Straftat am Ende auch eine Verurteilung vor Gericht wird. Den wie Correctiv schreibt, wurden laut statistischem Bundesamt 60 Prozent der Ermittlungsverfahren eingestellt.

Der Faktencheck zeigt auch, dass die Zahl der Fälle mit dem Bevölkerungswachstum zu tun hat. Mehr Tatverdächtige heiße nicht notwendigerweise, dass auch prozentual mehr Menschen kriminell geworden seien. Der prozentuale Wert wird mittels der „Tatverdächtigenbelastungszahl“ statistisch erfasst. Correctiv hat nun diesen Wert angeschaut und kommt zum Schluss:

[..] obwohl die absolute Zahl der Tatverdächtigen in den vergangenen Jahren zwischendurch gestiegen ist (etwa zwischen 2013 und 2015 oder zwischen 2021 und 2023): Der Anteil der Menschen in der Gesellschaft, die von der Polizei eines Verbrechens verdächtigt wurden, ist seit 2009 insgesamt gesunken.

Ein anderes Feld im Bericht von Correctiv sind Straftaten gegen die sexuelle Selbstbestimmung. Diese sind in den vergangenen Jahrzehnten laut der PKS dramatisch angestiegen. Die Hintergründe sind dabei vor allem auch ein besserer gesetzlicher Schutz vor solchen Straftaten durch eine Erweiterung dessen, was überhaupt strafbar ist, sowie eine gestiegene Sensibilität, so dass mehr Menschen und vor allem Frauen sich trauen, solche Straftaten auch anzeigen. Dennoch ist das Dunkelfeld in diesem Gebiet immer noch groß, so kam kürzlich heraus, dass bei digitaler Gewalt etwa 97 Prozent aller Fälle nicht zur Anzeige kommen.

Demografische und soziale Aspekte ignoriert

Beliebt in rassistischer Stimmungsmache, die ja derzeit von AfD bis zum Bundeskanzler Konjunktur hat, ist das Narrativ von kriminellen Migrant:innen. Die PKS erfasst keinen Migrationshintergrund, wer einen deutschen Pass hat, ist deutsch – egal, wo die Person geboren ist oder welche Nationalität die Eltern hatten. Die in der PKS erfassten Nicht-Deutschen hingegen sind nicht nur Geflüchtete oder hier lebende Menschen ohne deutschen Pass, sondern auch Tourist:innen. Wer also mit Fallzahlen aus der PKS hantiert, um rechte Stimmung zu machen, ignoriert nicht nur das, sondern auch, dass bei den Nicht-Deutschen die Altersstruktur jünger ist und jüngere Menschen, egal von wo sie kommen, in der Regel mehr Straftaten begehen. In Lagebildern erfasst das Bundeskriminalamt hingegen erst seit 2015 die Kriminalität von „Zuwanderern“, laut dem BKA Menschen, die ein Asylverfahren durchlaufen, einen Aufenthaltstitel oder eine Duldung haben oder abgeschoben werden sollen.

Rechtsradikale hantieren gerne mit der sogenannten „Messerkriminalität“, die angeblich seit dem Jahr 2015 explodiert sei. Das ist unseriös, wie Correctiv darlegt: Denn „Tathandlungen, bei denen der Angriff mit einem Messer unmittelbar gegen eine Person angedroht oder ausgeführt wird“ werden erst seit dem 1. Januar 2024 vollständig erfasst. 90 Prozent der erfassten „Messerkriminalität“ wird von Männern über 21 Jahren verübt. Tatsächlich sind dabei in der Statistik nicht-deutsche Täter überrepräsentiert. Neben demografischen und sozialen Aspekten gibt es zahlreiche weitere Faktoren, die dieses Ungleichgewicht begünstigen, wie die Kriminologin Gina Wollinger darlegt.

Verzerrte Wahrnehmung von Kriminalität

Die Gefahr einer Verfälschung des Kriminalitätsbildes durch die polizeiliche Statistik wird verstärkt dadurch, dass sehr viele Menschen eine völlig von der Realität abgekoppelte Wahrnehmung der Kriminalität haben. In einer Befragung der Konrad-Adenauer-Stiftung (KAS) aus dem Jahr 2021 gingen fast zwei Drittel von einer starken bis sehr starken Zunahme der Kriminalität in den letzten fünf Jahren aus, während nur sechs Prozent der Befragten die Kriminalitätsentwicklung realistisch einschätzten.

Woher diese Fehlwahrnehmung kommt, ist nicht abschließend untersucht. Die Studie der KAS zeigte sich hier einigermaßen ratlos: Die Sorge vor einer Zunahme der Kriminalität lasse sich nicht mit sinkender tatsächlicher Kriminalität aus der Welt schaffen, stellten die Autor:innen damals fest.

Einen Anteil an diesem Phänomen haben vermutlich die Nachrichtenwertfaktoren Negativität und Nähe, die Medien dazu bringen, Berichte mit Schaden und Kriminalität in unserer Nähe als relevanter zu bewerten. So entsteht medial eine Schieflage, die nicht der realen Entwicklung entspricht. Diese Schieflage wird befeuert von einer Innenpolitik, die auf diese Fehlwahrnehmungen eingeht, was die Berichterstattung zum Thema Sicherheit weiter verstärkt. Hinzu kommt auch ein Altersfaktor, den die Studien bestätigen: Je älter die Befragten, desto mehr Angst haben sie vor Kriminalitätszunahme. In einer alternden Gesellschaft steigt also die Furcht und damit auch der politische Druck auf das Thema.

Eng gefasster Sicherheitsbegriff

Der Fokus des Sicherheitsbegriffs auf Delinquenz und Kriminalität trägt zudem zu einer weiteren Verzerrung und damit verschobenen politischen Prioritäten bei. Ein erweiterter Sicherheitsbegriff würde soziale Sicherheit hervorheben, dazu gehören Wohnraum, eine gerechte Vermögensverteilung, ein gutes Gesundheitssystem, einfache Mobilität sowie die Absicherung von Arbeitsplätzen. Ein noch weiter in die Zukunft gerichteter Sicherheitsbegriff würde auch die Gefahr von Kriegen, Umweltkatastrophen und Klimakollaps in den Fokus nehmen.

iPhone und Apple Watch verfügen im Rahmen von Apple Pay über eine Funktion, die die Nutzung von Nahverkehrssystemen in aller Welt erleichtern soll. Mit dem sogenannten Expressmodus muss man sein Gerät nur noch an das Lesegerät an der Zugangssperre halten und löst dann automatisch sein Ticket über eine hinterlegte Kreditkarte. Das geht etwa in der New Yorker U-Bahn oder in London. Ein Entsperren des Apple-Geräts per Fingerabdruck, Gesichtserkennung oder PIN ist nicht notwendig, sofern man den Expressmodus aktiviert hat.

Doch wie sicher ist das? Wäre es möglich, so auf fremde Kosten mit der bei Apple Pay hinterlegten Kreditkarte einzukaufen? Ein Video des bekannten Wissenschaftskanals Veritasium hat das nun näher untersucht. Das Ergebnis: Mit (ziemlich viel) Mühe und spezieller Hardware sowie Karten eines bestimmten Kreditkartenausgebers konnte dem bekannten YouTuber MKBHD bei einem Testlauf eine größere Geldsumme entwendet werden.

Problem seit 2021 bekannt

Gänzlich neu ist der Ansatz nicht, bereits 2021 konnten Sicherheitsforscher der Hochschulen Surrey und Birmingham das Vorgehen demonstrieren. Allerdings scheint sich seither wenig getan zu haben. Der Grund: Visa, der Kartenausgeber, der davon betroffen ist, meint, es sei unwahrscheinlich, dass es in der Praxis zu dem Angriff kommt. Zudem, sagte Apple gegenüber Veritasium, habe Visa mitgeteilt, dass der übliche Zahlungsschutz greift. Betroffene können die Kreditkartenbuchung also widerrufen, selbst wenn das mit viel Ärger verbunden sein dürfte.

Der Angriff selbst ist eine Man-in-the-Middle-Attacke: Das iPhone wird auf ein manipuliertes NFC-Lesegerät gelegt, das sich als legitimes ÖPNV-Terminal ausgibt. Es zieht Zahlungsdaten vom iPhone drahtlos ab, die dann wiederum an ein Notebook weitergereicht werden, auf dem sie mittels Python-Skript manipuliert werden. Die Informationen werden anschließend auf ein Burner-Gerät – offenbar ein Android-Telefon, das gerootet wurde – weitergeleitet. Letzteres führt dann die Transaktion auch tatsächlich aus, wenn es auf einen Kartenleser gelegt wird – mit den iPhone-Daten. Der manipulierte Leser musste die gleiche Terminal-ID haben wie ein legitimes Tap-to-Pay-Terminal in einer ÖPNV-Station. Die komplexe Methode funktioniert nicht mit MasterCard und American Express, da es hier offenbar weniger leicht ist, legitime Daten an das Android-Gerät weiterzuleiten.

iPhone lässt Summe als Kleinbetrag durch

Interessant: Eines der von den Forschern entdeckten Probleme war, dass iOS in der aktuellen Form offenbar darauf vertraut, dass das NFC-Lesegerät angibt, dass es sich bei der abgefragten Summe um eine geringe handelt. Tatsächlich gegen die Zahl geprüft wird das aber nicht, es wird nur ein Flag gelesen und diesem dann geglaubt. Bei Geräten anderer Hersteller sei das nicht so, sagt Veritasium. Das heißt: Es konnte dem iPhone vorgegaukelt werden, dass es sich um eine Kleinzahlung handelt, die für den Expressmodus üblich sind, während dann tatsächlich 10.000 US-Dollar abgebucht wurden.

Es ist unklar, ob Kriminelle die komplexe Methode tatsächlich einsetzen. Wer auf Nummer sicher gehen will, nutzt den ÖPNV-Expressmodus nicht mit Visa-Karten. Dann sollte die Angriffsform grundsätzlich nicht möglich sein.

(bsc)