Connect with us

Datenschutz & Sicherheit

Jetzt patchen! Angreifer nutzen kritische Schadcode-Lücke in Drupal aus


Die Drupal-Entwickler warnen vor Attacken auf mit dem Content-Management-System (CMS) erstellte Internetseiten. Im Anschluss haben Angreifer Zugriff auf eigentlich abgeschottete Daten. Sie können sich aber auch höhere Rechte verschaffen oder sogar Schadcode aus der Ferne ausführen. Sicherheitsupdates stehen zum Download bereit.

Weiterlesen nach der Anzeige

Wie aus einer mittlerweile um die Warnung vor laufenden Attacken aktualisierten Meldung des Softwareherstellers hervorgeht, ist die Sicherheitslücke (CVE-2026-9082) mit dem Bedrohungsgrad „kritisch“ eingestuft. Sie betrifft ausschließlich Websites, die PostgreSQL nutzen. Ist das der Fall, setzen Angreifer mit präparierten SQL-Injection-Attacken an der Schwachstelle an. Attacken sollen ohne Authentifizierung möglich sein. Wie Angriffe im Detail ablaufen, führen die Drupal-Entwickler derzeit nicht aus. Unklar ist zurzeit auch, in welchem Umfang die Attacken ablaufen.

Die Entwickler haben schon vor dem Erscheinen des Sicherheitspatches vor möglichen Attacken gewarnt und Admins in einer Meldung auf das Erscheinen des Updates vorbereitet.

Von der Lücke sind auch Drupal-Versionen betroffen, für die der Support ausgelaufen ist. Aufgrund der Dringlichkeit haben die Entwickler aber trotzdem Sicherheitsupdates veröffentlicht. Sie geben an, die folgenden Ausgaben gegen die laufenden Attacken gerüstet zu haben:

  • Drupal 8.9
  • Drupal 9.5
  • Drupal 10.4.10
  • Drupal 10.5.10
  • Drupal 10.6.9
  • Drupal 11.1.10
  • Drupal 11.2.12
  • Drupal 11.3.10

Die Entwickler weisen darauf hin, dass nicht mehr im Support befindliche Ausgaben zwar dieses Sicherheitsupdate bekommen, sie aber nach wie vor über ältere Schwachstellen angreifbar sind. Demzufolge sollten Webadmins ein Upgrade auf eine noch unterstützte Version durchführen.

Weiterlesen nach der Anzeige


(des)



Source link

Datenschutz & Sicherheit

Verbot für unter 13-Jährige: Von der Leyen will Alterskontrollen weit über Social Media hinaus


In der EU sollen strenge Kontrollen Menschen im Netz nach Altersgruppen sortieren. Dafür hat sich Kommissionspräsidentin Ursula von der Leyen (CDU) ausgesprochen, als sie am heutigen Montag die Empfehlungen eines Expert*innen-Gremiums zum Schutz junger Menschen im Netz entgegengenommen hat.

Ins Rollen gekommen ist die internationale Debatte, nachdem die australische Regierung ein Social-Media-Verbot für unter 16-Jährige eingeführt hat, verbunden mit strengen Alterskontrollen. Erste Studien zeigen jedoch, dass ein Großteil der australischen Jugendlichen soziale Medien weiter nutzt. Ein breiter Chor aus Fachleuten hält solche Verbote für schädlich, selbst wenn sie funktionieren würden. Dennoch wollen zahlreiche EU-Staaten das australische Modell nachahmen – und die EU-Kommissionspräsidentin will es drastisch ausweiten.

Auf der Pressekonferenz spricht von der Leyen von „Social Media Plus“ und bekräftigt damit die frisch vorgelegten Empfehlungen des Gremiums aus internationalen Fachleuten. Mit dem euphemistischen Begriff „Social Media Plus“ will das Gremium „in der Breite Dienste definieren, die Minderjährigen zugänglich sein könnten und altersunangemessene und/oder risikobehaftete Merkmale aufweisen“. Als Beispiele nennt der Bericht auch App-Marktplätze, Videospiele, Videoplattformen, KI-Systeme und „Companions“; das sind Chatbots, die den Eindruck einer Vertrauensperson erwecken.

Mit Social Media hat das allerdings wenig zu tun. Vielmehr ist „Social Media Plus“ ein dehnbarer Begriff für allerlei Dienste im Netz, die die EU künftig mit strengen Altersschranken belegen könnte.

Ein nach Altersgruppen abgestuftes Internet

Für „Social Media Plus“ soll den Expert*innen zufolge eine EU-weite Altersgrenze von 13 Jahren gelten. Geplant ist ein Modell mit mehreren Stufen. Die Kleinsten bis 3 Jahre sollen gar keine Bildschirmzeit haben. 3- bis 13-Jährige sollen nur unter Aufsicht Internet-fähige Geräte nutzen dürfen. Für 13- bis 17-Jährige sollen Dienste nur dann zugänglich sein, wenn sie dem Alter angemessen sind, etwa durch Jugendschutz-Features. Die elterliche Kontrolle soll dabei zunehmend schwinden, während junge Menschen selbstständiger werden.

Die Durchsetzung der feinen Altersstufen soll den Expert*innen zufolge nicht nur bei Eltern oder Aufsichtspersonen liegen. Stattdessen sollen technische Kontrollsysteme sicherstellen, dass Menschen digitale Räume nur gemäß ihrer Altersgruppe betreten. Die Expert*innen empfehlen „effektive Systeme zur Alterskontrolle“. In dem Kontext hat sich von der Leyen einmal mehr für die Alterskontroll-App der EU ausgesprochen, die sogenannte „Mini-Wallet“.

Schwarz-Rot will die Informationsfreiheit beschneiden.

Wir kämpfen für Transparenz. Mit deiner Unterstützung.

Zusätzlich könnten EU-Mitgliedstaaten nationale Einschränkungen einführen, heißt es im Papier der Expert*innen. Insgesamt haben die Fachleute 156 Seiten Bericht und 26 Seiten Zusammenfassung vorgelegt. Wir werden dazu noch eine ausführliche Analyse veröffentlichen.

Das EU-Gremium hatte sich am 5. März 2026 erstmals getroffen. Lange bevor die Expert*innen ihre Ergebnisse vorlegen konnten, hatte sich von der Leyen bereits öffentlich für das ein Social-Media-Verbot und Alterskontrollen stark gemacht und damit Einfluss auf das Gremium genommen.

Andere Fachleute empfehlen das Gegenteil

Parallel haben sich in Deutschland bereits zwei weitere Gremien mit demselben Thema befasst: Der Deutsche Ethikrat hat ein Social-Media-Verbot klar abgelehnt und enge Grenzen für Alterskontrollen gezogen. Ein weiteres Expert*innen-Gremium  ist bei Social-Media-Verbot und Alterskontrollen zu gemischten Ergebnissen gekommen.

Mehr als 400 Forschende aus 29 Ländern haben bereits im März eindringlich vor Alterskontrollen gewarnt und einen Stopp entsprechender Gesetzesvorhaben gefordert. Die Einführung von Alterskontrollen ohne weitere Forschung sei „gefährlich und gesellschaftlich nicht hinnehmbar“, schreiben sie in einem offenen Brief. Auf dem Spiel stünden „Sicherheit, Privatsphäre, Gleichberechtigung“ und „Autonomie“ aller Menschen.

Der Pudding wird uns auf die Füße fallen

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Auf der Pressekonferenz sagte von der Leyen mit Blick auf ihr eigenes Expert*innen-Gremium, aus dem Englischen übersetzt: „Das sind genau die Belege, auf die wir gewartet haben.“ Sie sprach von Daten, Fakten und Konsens. Das ist jedoch grob irreführend, denn andere Fachleute fordern das glatte Gegenteil: kein Social-Media-Verbot und keine Alterskontrollen.

Die Bundesregierung hatte im April mitgeteilt, noch keine gemeinsame Position zum Social-Media-Verbot zu haben. Mitte Mai hatte Bundeskanzler Friedrich Merz (CDU) nach anfänglichen Sympathien für das Konzept ausdrücklich „Nein“ zu einem Social-Media-Verbot gesagt. Wenig später hatte sich Innenminister Alexander Dobrindt (CSU) kritisch geäußert und damit die Position seines Parteichefs Markus Söder gestützt.

Deutscher Ethikrat warnte vor Zensur und Missbrauch

Je nach Ausgestaltung droht mit Alterskontrollen ein umfassender Kontroll-Apparat oder gar ein Apparat zur Massenüberwachung. Wer zentrale Dienste des Internets nutzen will, könnte sich künftig mit amtlichen Dokumenten oder Scans des Gesichts ausweisen müssen. Die EU arbeitet an mehreren angeblich datensparsamen Lösungen: die kleine digitale Brieftasche („Mini-Wallet“) und die normale digitale Brieftasche („EUDI-Wallet“).

Die Mini-Wallet haben der Deutsche Ethikrat und das deutsche Expert*innen-Gremium bereits klar abgelehnt. Bei der EUDI-Wallet droht die EU-Kommission derzeit, die gesetzlich verankerten Pläne zum Schutz der Privatsphäre zu sabotieren.

Mit Blick auf Alterskontrollen warnte der Deutsche Ethikrat:

Die Technologien sind Instrumente zur Unterscheidung und unterschiedlichen Behandlung von Nutzergruppen. Als solche können sie auch zweckentfremdet werden, und zwar sowohl zur Beschränkung des Zugangs für weitere Gruppen als auch des Zugangs zu anderen Inhalten, zum Beispiel zu Materialien zur sexuellen Aufklärung oder gar zu solchen, die politisch unerwünscht sind. Aufgrund dieser breiten Einsatzmöglichkeiten kann nicht ausgeschlossen werden, dass die Altersbestimmungstechnologien als Zensurinstrument missbraucht werden.

Genau dieses Instrument will Ursula von der Leyen offenbar EU-weit einführen. Zunächst werde sie sich die Empfehlungen genau durchlesen, sagte sie auf der Pressekonferenz. „Nach dem Sommer“ könne die EU-Kommission einen Gesetzentwurf vorlegen. Wie unter anderem Euractiv berichtete, eignet sich als Datum die für September geplante jährliche „Rede zur Lage der Union“.



Source link

Weiterlesen

Datenschutz & Sicherheit

Weiter, immer weiter: Firefox verlängert Support für Windows 7, 8 und 8.1


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Still und heimlich, ohne viel Federlesen, hat Mozilla die Unterstützung veralteter Betriebssysteme abermals verlängert. Bis März 2027 sollen Nutzerinnen und Nutzer der von den Herstellern nicht mehr unterstützten Betriebssysteme weiterhin in den Genuss von Sicherheitsupdates für den Webbrowser gelangen.

Weiterlesen nach der Anzeige

Der Support von Microsoft endete zwischen den Jahren 2016 und 2023 für die genannten Windows-Betriebssysteme. Die erhalten damit keine Sicherheitsupdates mehr, weshalb sich Nutzerinnen und Nutzer damit nicht mehr ins Internet wagen sollten. Jedoch liefert der Firefox-ESR-Browser immerhin noch einen mit aktuellen Sicherheitsflicken ausgestatteten Browser dafür aus. Der im März aktualisierte Support-Beitrag nennt weiterhin den August 2026 als Support-Ende. Allerdings nennt der Release-Fahrplan für Firefox ESR nun diese Änderung.


Tabelle mit Firefox ESR Veröffentlichungsdaten und Versionsnummern.

Tabelle mit Firefox ESR Veröffentlichungsdaten und Versionsnummern.

Mozilla verlängert den Support für ältere Windows- und macOS-Versionen in Firefox ESR 115 bis März 2027.

(Bild: Screenshot / heise medien)

Der offizielle Release-Fahrplan von Firefox ESR listet derzeit bis Ende Januar 2027 konkrete neue Firefox-ESR-115-Versionen auf, weiter ist er schlicht noch nicht ausgefüllt.

Auch der Support-Beitrag, der die Verlängerung für Firefox ESR 115 unter macOS 10.12 (Sierra), macOS 10.13 (High Sierra) und macOS 10.14 (Mojave) angekündigt hat, zeigt noch den alten Status aus dem März. Auch hier kommen Nutzer der Betriebssystem-Oldies, die keinen Support von Apple mehr erhalten, in den Genuss der Support-Verlängerung bis März 2027.

Im März dieses Jahres hatte Mozilla den Support von Firefox ESR 115 unter den genannten Betriebssystemen bereits verlängert. Bis dahin hatte die Mozilla-Stiftung eigentlich geplant, die Unterstützung für die alten Betriebssysteme im Februar dieses Jahres einzustellen. Das haben die Entwickler schließlich bis August 2026 ausgeweitet. Jetzt legt Mozilla nochmals ein gutes halbes Jahr Verlängerung nach.

Weiterlesen nach der Anzeige


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Werbeblocker Pi-hole: Update stopft hochriskante Sicherheitslücken


Im DNS-basierten Adblocker-System Pi-hole haben die Entwickler mehrere Sicherheitslücken geschlossen. Die ermöglichen etwa die Rechteausweitung zu root oder die Übernahme von Admin-Sitzungen.

Weiterlesen nach der Anzeige

In einem Blogbeitrag haben die Pi-hole-Programmierer die Änderungen zusammengefasst und geben eine Übersicht über die geschlossenen Sicherheitslecks. Von den insgesamt sechs Schwachstellen gelten vier als hohes Risiko, eine als mittleres und eine als niedriges. User, die als „pihole“-User Code ausführen dürfen, können durch Ersetzen von „/etc/pihole/logrotate“ an root-Rechte gelangen (CVE-2026-50130, CVSS 8.8, Risiko „hoch“). Zudem war der Session-Timeout-Mechanismus faktisch wirkungslos, sodass jede jemals gültige Session-ID mit administrativem Zugang diesen dauerhaft gewährte (kein CVE-Eintrag, CVSS 8.8, Risiko „hoch“). Zudem waren Denial-of-Service-Attacken (DoS) aufgrund fehlender Ratenbegrenzung möglich (CVE-2025-62165, CVSS 7.5, Risiko „hoch“).

Angemeldete Admins konnten außerdem beliebige Befehle auf dem Pi-hole-Server ausführen, wenn Angreifer im Teleporter (das Tool zum Umzug von Pi-hole auf andere Systeme) zwei Lücken kombinierten (kein CVE-Eintrag, CVSS 7.2, Risiko „hoch“). Eine weitere Lücke erlaubte das Einschmuggeln von Befehlen, die als „pihole“-User im System ausgeführt werden (kein CVE-Eintrag, CVSS 6.6, Risiko „mittel“). Angemeldete Angreifer hätten zudem HTTP-Antwort-Header einschleusen können (kein CVE-Eintrag, CVSS 3.5, Risiko „niedrig“).

Die Sicherheitslücken schließen die Versionen Pi-hole-FTL v6.7, Pi-hole-Web v6.6 sowie Pi-hole-Core v6.4.3. Um die Aktualisierung auf die neuen Softwarestände durchzuführen, müssen Admins ein Terminal öffnen und darin den Befehl sudo pihole -up aufrufen. Der bringt die Komponenten auf den aktuellen Stand und startet die Dienste auch gleich neu. Interessierte finden zudem im Blogbeitrag detaillierte Änderungen und Verbesserungen an den Pi-hole-Komponenten.

Zuletzt hatte das Pi-hole-Projekt im Mai Schwachstellen im eingesetzten dnsmasq ausgebessert, durch die Angreifer etwa Schadcode hätten einschmuggeln können.


(dmk)



Source link

Weiterlesen

Beliebt