„Pack2TheRoot“: So nennt das Telekom-Security-Team eine kürzlich entdeckte Sicherheitslücke in PackageKit, die Angreifern das Ausweiten ihrer Rechte im System ermöglicht. Betroffen sind mehrere Linux-Distributionen in ihrer Standardkonfiguration.

Das meldet die Telekom auf ihren Sicherheitsseiten. PackageKit ist ein Abstraktions-Layer für D-Bus zum eigentlich sicheren Verwalten von Paketen für beliebige Distributionen und Architekturen. Die Schwachstelle ermöglicht Angreifern mit geringen Rechten im System, Systempakete zu installieren oder zu entfernen – ohne dazu befugt zu sein. Dadurch können bösartige Akteure unter anderem root-Rechte erlangen oder das System auf andere Weise kompromittieren.

Die Sicherheitslücke beruht auf einem Time-of-Check-Time-of-Use-Fehler (TOCTOU), einer Race Condition für Transaktions-Flags, genauer den transaction->cached_transaction_flags. Drei Fehler im Code führen dazu, dass die Flags überschreibbar sind, und zwar zwischen dem Zeitpunkt der Autorisierung und der Ausführung (CVE-2026-41651, CVSS 8.8, Risiko „high“). Das Risiko ist somit nur ganz knapp nicht als kritisch einzusortieren.

Korrigierte Software

Betroffen ist PackageKit demnach in den Versionen 1.0.2 bis 1.3.4. Mit Stand 1.3.5 oder neuer haben die Entwickler die Sicherheitslücken gestopft. Die Softwareverwaltung insbesondere der größeren Distributionen hält seit dem 22. April 2026 aktualisierte Pakete bereit, die IT-Verantwortliche zeitnah anwenden sollten. Die Telekom deutet einen Proof-of-Concept an, veröffentlicht ihn zur Sicherheit aber (noch) nicht.

Die Telekom-IT-Forscher haben mit Unterstützung von Anthropics Claude Opus die Schwachstelle aufgespürt. Das ist ein weiterer Hinweis, dass Schwachstellensuche mit KI inzwischen ordentliche Ergebnisse liefert. Viele Projekte stellen aber aufgrund der zahlreichen KI-Meldungen die Prämienzahlung für Fehlerberichte ein. Auslöser für die Suche war ein ungewöhnliches Verhalten von „pkcon install“ auf einer Fedora-Workstation, das ein Systempaket ohne das Bereitstellen eines Passworts installieren konnte.

Betroffen sind mehrere Linux-Distributionen in ihrer Standardinstallation. Die Telekom listet Debian Desktop Trixie 13.4, Fedora 43 Desktop und Server, RockyLinux Desktop 10.1, Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS Beta) und schließlich Ubuntu Server 22.04 – 24.04 (LTS). Das sind zumindest die Distributionen, die die IT-Forscher explizit getestet haben. Es sei jedoch vernünftig anzunehmen, dass alle Distributionen verwundbar sind, die PackageKit ausliefern und es standardmäßig aktivieren.

(dmk)

Angreifer können an mehrere Sicherheitslücken in VMware Tanzu Spring Boot ansetzen und Instanzen im schlimmsten Fall vollständig kompromittieren. Sicherheitsupdates sind verfügbar. Derzeit gibt es seitens des Softwareherstellers keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Unbefugte Zugriffe möglich

Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 3.5.14 und 4.0.6 gelöst zu haben. Sie weisen zusätzlich darauf hin, dass auch nicht mehr im Support befindliche Versionen verwundbar sind. An dieser Stelle müssen Admins auf eine noch untersützte Version upgraden.

Insgesamt wurden neun Schwachstellen geschlossen. Wie aus einer Warnmeldung hervorgeht, ist eine (CVE-2026-40976) mit dem Bedrohungsgrad „kritisch“ eingestuft. Weil die Authentifizierung nicht verlässlich funktioniert, können Angreifer auf alle Endpoints zugreifen.

Damit eine solche Attacke klappt, müssen aber mehrere in der Warnmeldung aufgelisteten Voraussetzungen erfüllt sein. So muss es sich etwa um eine Servlet-basierte Web-Anwendung handeln. Wie ein derartiger Angriff im Detail ablaufen könnte, ist bislang unklar.

Weitere Gefahren

Ferner können Angreifer noch unter anderem aus der Ferne Schadcode ausführen (CVE-2026-40972 „hoch“) oder Instanzen dazu bringen, sich mit bösartigen Hosts zu verbinden (CVE-2026-40974 „mittel“).

Weitere Informationen zu den geschlossenen Softwareschwachstellen und bedrohten Versionen finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:

Zuletzt haben die Entwickler mehrere Sicherheitslücken in VMware Tanzu Spring Security geschlossen.

(des)

Das Internet und seine Plattformen werden immer weniger von Menschen, sondern stattdessen von Bots bevölkert. Die meisten Interaktionen und Inhalte, die wir online sehen, sind automatisiert erstellt und verbreiten sich automatisiert. Menschen werden im Internet zur Minderheit. Das Internet ist deshalb längst „tot“ oder wird bald sterben. Das sagt zumindest die „Dead Internet Theory“.

Mittlerweile drängt sich der Eindruck auf, dass die verschwörungsmythisch angehauchte Theorie in Teilen nicht ganz falschliegt.

Content, der sich zum Obst macht

Was wir in sozialen Medien derzeit vor allem sehen, sind immer mehr automatisiert generierte Inhalte. Offensichtlich maschinell erstellte Kommentare und KI-generierte Videos fluten unsere Feeds. Besonders häufig tauchen dabei KI-Videos von Früchten oder Katzen auf, die stark emotionalisierte und oftmals fragwürdige Handlungen darstellen.

Die Zigtausend Clips erzählen meist die gleichen Geschichten, die in der Regel keinen Sinn ergeben. Dennoch werden die Videos teils millionenfach geklickt. In den vergangenen Wochen berichteten zahlreiche Medien über den vermeintlich neuen Trend. Das Phänomen vollkommen sinn- und inhaltsloser Videos ist jedoch mindestens so alt wie der „Italian Brainrot“-Trend zu Beginn des Jahres 2025.

All diese Videos erfüllen vor allem einen Zweck: Die Betreiber haben ein Interesse daran, dass möglichst viele Menschen möglichst viel Zeit auf ihren Plattformen verbringen. Je mehr Zeit wir auf den Plattformen verbringen, desto mehr Daten geben wir preis, desto mehr bezahlte Werbung bekommen wir angezeigt und desto wahrscheinlicher ist es, dass wir Geld auf den Plattformen ausgeben.

Maschinen, die uns unterhalten sollen

Bei der Ökonomisierung menschlicher Aufmerksamkeit ist es ziemlich egal, mit welcher Art von Beiträgen diese erzeugt wird. Und so schlecht eine Content-Form auch sein mag: Wenn Tausende solcher Videos hochgeladen werden, stehen die Chancen nicht schlecht, dass zumindest eines der Videos viral geht – selbst dann, wenn es inkohärente Geschichten mit KI-Obst in den Hauptrollen sind. Und je mehr Content es gibt, desto mehr Content kann konsumiert werden und desto mehr Profitoptionen ergeben sich für die Betreiber.

Insofern können Maschinen auf sozialen Medien die Hauptproduzenten von Inhalten sein. Gleichzeitig erstellen Maschinen nicht nur die originalen Posts, sondern kommentieren und teilen diese auch. Das Ergebnis sind Beiträge, die Maschinen erstellen und pushen, die möglichst viele menschliche Konsumenten erreichen sollen.

Die Wertlos-Maschinerie

Wenn Maschinen Menschen ablösen, stellt das die Plattformen jedoch vor ein Problem: Bots erstellen Inhalte, kommentieren, liken und teilen andere Beiträge – und das rund um die Uhr, unter Zugriff auf immer mehr Ressourcen. Das ist in etwa so, als würde ein Freizeitpark-Betreiber alle seine Fahrgeschäfte automatisieren und humanoide Roboter hineinsetzen, die Menschen dazu animieren, mitzufahren.

Die Aufmerksamkeit der Bots ist kommerziell nichts wert. Es gibt keine personalisierten Nutzerprofile von Bots, die man semilegal verkaufen kann. Ein Bot gibt auch kein Geld für beworbene Produkte aus. Und es lohnt sich wohl auch nicht, das Nutzungsverhalten eines Bots zu überwachen. Die Plattformbetreiber haben deshalb nichts davon, wenn sich in ihren Foren ausschließlich Bots gegenseitig entertainen. Wenn die Achterbahnwagen bis auf den letzten Platz nur mit Robotern gefüllt sind, ist alle Mühe umsonst.

Große digitale Dienste sind auf menschliche Konsument:innen angewiesen. Nur ihre Aufmerksamkeit erzeugt den Mehrwert, mit dem Plattformbetreiber ihr Geld verdienen. Wenn echte Menschen das Interesse an sozialen Medien verlieren, verliert auch der Maschinen-Freizeitpark seinen Sinn.

Die Entmenschlichung sozialer Medien

Diese Entmenschlichung sozialer Medien hat jedoch begonnen, lange bevor KI-generierter Content sie flutete. Neben KI-Obst, KI-Influencern und Tung tung tung Sahur existiert auf sozialen Medien massenweise Content, der von Menschen produziert ist. Dabei handelt es sich vor allem um Inhalte von besonders großen Accounts, die uns ihre Erzählungen wie eine Fernsehserie präsentieren. Schon das hat mit der eigentlichen Idee hinter den sozialen Medien nur noch wenig zu tun.

Soziale Medien sollten – zumindest aus Nutzer:innenperspektive – ursprünglich ein Ort sein, an dem wir mit unseren Freund:innen in Kontakt bleiben können. Doch ihre Accounts nehmen wir kaum noch wahr. Ein Großteil unserer Feeds besteht längst aus Beiträgen von Personen, die wir nicht kennen und maschinell generierten Inhalten. Das macht die Nutzererfahrung auf sozialen Medien immer unmenschlicher und unpersönlicher.

Dennoch ist Plattformbetreibern daran gelegen, dass Nutzer:innen den Eindruck haben, auf sozialen Medien noch mit ihren Bekannten zu interagieren. So hat Instagram vor wenigen vergangenen Jahren ein kleines Icon eingeführt, das Nutzer:innen anzeigt, wenn ein Bekannter einen anderen Beitrag reposted oder kommentiert. Das kann die zwischenmenschliche Verbindung, die soziale Medien einst schaffen sollten, jedoch nicht ersetzen.

Maschinen können Menschen nicht ersetzen

Die maschinelle Erstellung von Inhalten ist, menschlich gesehen, wertlos. Und sie widerspricht dem menschenzentrierten Grundgedanken sozialer Medien: eine digitale Welt von Menschen für Menschen zu schaffen, mit deren Hilfe wir uns vernetzen und einander näherkommen.

Eine digitale Welt, in der hauptsächlich Bots mit Hilfe sogenannter künstliche Intelligenz miteinander interagieren, führt die Idee sozialer Medien endgültig ad absurdum. Setzt sich diese Entwicklung weiterhin ungehemmt fort, werden Orte, die einst dem digitalen Austausch dienten, obsolet.

Tot ist das Internet, wie wir es kennen, sicher lange noch nicht. Das heißt aber nicht, dass es den Maschineninhalten nicht doch irgendwann zum Opfer fallen wird.