Liebe Leser:innen,

vor genau einer Woche stand im Wochenrückblick, dass die Bundesregierung im EU-Rat am 14. Oktober für die Chatkontrolle stimmen könnte. Auf Anfragen von uns hatte sie keine Position gegen die Überwachungspläne bezogen.

Jetzt, nur eine Woche später hat sich der Wind gedreht: Die Abstimmung im EU-Rat ist erstmal abgesagt, wohl auch weil sich die Bundesregierung am vergangenen Mittwoch gegen eine „anlasslose Chatkontrolle“ positioniert hat und es so keine Mehrheit geben würde. Das wohl gefährlichste Überwachungsprojekt Europas ist vorerst wieder abgewehrt.

Im letzten Wochenrückblick stand auch, dass es nicht zu spät für Proteste sei. Und genau das hat sich bewahrheitet: Es war nicht zu spät. Aus verschiedenen Ecken der Gesellschaft gab es Gegenwind, von Bitkom über den Kinderschutzbund bis zum Messenger-Platzhirsch WhatsApp. Aber auch jede Menge wütende Menschen, die massenweise E-Mails schrieben oder anriefen, um ihren Unmut zu äußern. Eine Petition sammelte in 48 Stunden mehr als 300.000 Unterschriften. Auf unserer Startseite gab es zwischenzeitlich kein anderes Thema mehr.

Am Ende lenkte die schwarz-rote Bundesregierung ein, nicht ohne frech zu behaupten, dass sie ja schon immer gegen die anlasslose Chatkontrolle gewesen sei.

Dieser Etappensieg der Zivilgesellschaft ist ein toller Erfolg. Er zeigt, dass es sich lohnt zu protestieren. Aber das Thema Chatkontrolle ist noch lange nicht vom Tisch. Einerseits müssen wir hierzulande ganz genau schauen, was die Bundesregierung eigentlich unter der Ablehnung einer anlasslosen Chatkontrolle versteht. Meint das auch Überwachungstools wie Client-Side-Scanning? Wie sieht es mit Zugriff bei einem „Anlass“ aus? Es darf keine Technologien auf unseren Smartphones und Computern geben, die Ende-zu-Ende-Verschlüsselung in irgendeiner Form umgehen oder schwächen. Dazu muss die Bundesregierung deutlich stehen.

Auf der anderen Seite steht im EU-Rat nur ein Teil der Mitgliedsländer gegen die Chatkontrolle. Wenn da einzelne Länder kippen, könnte die Chatkontrolle trotz des Widerstands aus Deutschland doch noch kommen. Es ist also wichtig, dass auch EU-weit Bewusstsein geschaffen wird, wie gefährlich das ist – und dass Chatkontrolle nicht zur Demokratie passt. Es bleibt also viel zu tun, wir berichten natürlich weiterhin.

Dennoch können wir uns jetzt erstmal ein Gläschen Crémant gönnen und uns freuen, dass es auch noch gute Nachrichten in dieser sonst so turbulenten Welt gibt.

Herzliche Grüße

Markus Reuter

Hacker und Sicherheitsexperten, die Lücken in Apples Betriebssystemen finden, können künftig mit deutlich höheren Auszahlungen im Rahmen des Bug-Bounty-Programms des Konzerns rechnen. Damit will sich der iPhone-Hersteller attraktiver für die Security-Community machen – und wohl auch verhindern, dass für Angriffe ausnutzbare Bugs in problematischen Kanälen (etwa bei Kriminellen oder Geheimdiensten von Regimen) landen.

35 Millionen US-Dollar ausgezahlt

Apple kündigte gleichzeitig an, seit dem Jahr 2020 über 35 Millionen US-Dollar an Zahlungen geleistet zu haben – an insgesamt 800 Sicherheitsforscher. „Mehrere“ Personen hätten dabei jeweils 500.000 Dollar erhalten. „Wir sind dankbar für jeden, der seine Forschungsergebnisse übermittelt und eng mit uns kooperiert, um unsere Nutzer zu schützen“, so der Konzern. In der Vergangenheit hatte es allerdings bereits Kritik an den Auszahlungsbedingungen und der Geschwindigkeit der Bug-Bounty-Mannschaft bei Apple gegeben. Offenbar hofft das Unternehmen mit den neuen Maßnahmen, diese zu besänftigen.

Apple hatte für einen Zero-Click-Angriff aus der Ferne, der keine Nutzerinteraktion verlangt und die Geräteübernahme ermöglicht, bislang maximal 1 Million Dollar gezahlt. Die Summe steigt nun auf maximal 2 Millionen. Eine sogenannte One-Click-Chain, bei der ein Klick des Nutzers für einen erfolgreichen Exploit nötig ist, bringt jetzt bis zu 1 Million statt nur 250.000 Dollar. Angriffe über die Luftschnittstelle (Angreifer muss sich in der Nähe befinden) werden ebenfalls auf 1 Million vervierfacht. Erfolgreiche Attacken auf das physische Gerät (im gesperrten Zustand) verdoppeln sich von 250.000 auf 500.000 Dollar. Ein App-Sandbox-Escape (bis zum SPTM-Bypass) bringt 500.000 statt 150.000 Dollar.

Veränderungen bei den Kategorien

Neben den aufgeführten Zahlungen sind wohl auch Boni möglich, die die Gesamtsumme auf bis zu 5 Millionen Dollar anheben. Die genannten Beispiele betreffen allesamt vollständige Exploit-Chains. Einzelne Bugs liefern auch weniger Geld – hierzu dürfte Apple in Zukunft nähere Angaben machen, die Website enthält noch die alten Informationen. Weiterhin gibt es neue Bug-Kategorien, die der Konzern im Bug-Bounty-Programm ergänzt. Dazu WebContent-Code-Executions mit Sandbox-Escape (bis zu 300.000 Dollar), bei Ausführung unsignierten Codes wird daraus eine Million. Schließlich wird der Bereich „WIreless Proximity“ auf aktuelle Apple-Chips wie C1, C1X und N1 erweitert. Um es Sicherheitsforschern zu erleichtern, zu verstehen, wann was gezahlt wird, führt Apple sogenannte Target Flags ein. Diese sind in das Betriebssystem integriert und erlauben es Apple, schneller zu ermitteln, wie weit ein Angriffer gekommen ist. Das soll auch erleichtern, einen Fix auszurollen – und das Verständnis eines Problems erhöhen, bevor selbiger ausentwickelt ist. Target Flags werden in allen Apple-Betriebssystemen von iOS bis visionOS implementiert. Momentan sind allerdings nicht alle Bug-Bounty-Kategorien erfasst, Apple will diese aber erweitern.

Apple kündigte weiterhin an, Bugs, die nicht vom Bug-Bounty-Programm erfasst werden, aber einen Fix verlangen, neben CVE-Eintrag und Credits mit einer Zahlung von 1000 Dollar zu belohnen. Dabei soll es sich um „Low Impact“-Bugs handeln, die keine direkten Auswirkungen auf die Nutzersicherheit haben. Schließlich startet Apple eine neue Runde seines Security-Research-Device-Programs. Das SRDP umfasst nun auch das neue iPhone 17, das Apple mit einem Hardware-Speicherschutz versehen hat. Die Geräte sind gerootet und erlauben diverse Angriffsformen, die sonst nicht möglich sind – und sorgen durch ihre Offenheit für ein tieferes Verständnis. Die aktuelle Bewerbungsrunde läuft bis zum 31. Oktober.

(bsc)

Mit der Version 25.00 von 7-Zip hat der Entwickler im Juli einige Sicherheitslücken geschlossen. Bislang war jedoch unklar, welche. Die Zero-Day-Initiative (ZDI) von Trend Micro hat nun Informationen zu einigen der darin gestopften Sicherheitslecks veröffentlicht.

Die erste Sicherheitslücke betrifft laut ZDI den Umgang mit symbolischen Links in ZIP-Dateien. Manipulierte ZIP-Dateien können dafür sorgen, dass der Prozess in nicht vorgesehene Verzeichnisse wandert. Angreifer können das zum Ausführen von Code im Service-Konto missbrauchen (CVE-2025-11002, CVSS 7.0, Risiko „hoch„). Die Beschreibung der zweiten Schwachstelle durch das ZDI liest sich identisch (CVE-2025-11001, CVSS 7.0, Risiko „hoch„).

Der Versionsverlauf von 7-Zip weist inzwischen zudem auf zwei weitere Sicherheitslecks hin, die Version 25.00 schließt. Die sind jedoch sehr vage. „7-Zip kann bei einigen inkorrekten RAR-Archiven inkorrekt arbeiten“, steht dort, der CVE-Eintrag präzisiert jedoch, dass Nullen außerhalb eines Heap-Puffers bei der Verarbeitung von RAR5-Formaten landen und so zu Speicherveränderungen führen können, die ihrerseits einen Denial of Service (DoS) auslösen (CVE-2025-53816 / EUVD-2025-21791, CVSS 5.5, Risiko „mittel„). Inkorrekte COM-Archive (Compound File) können zudem zum Absturz führen, was laut Schwachstellenbeschreibung im CVE-Eintrag auf eine Null-Pointer-Dereferenz bei der Verarbeitung zurückgeht (CVE-2025-53817 / EUVD-2025-21790, CVSS 5.5, Risiko „mittel„).

Weiteres Update verfügbar

Eine weitere Aktualisierung von 7-Zip auf Version 25.01 im August ging ein wenig unter. Sie korrigiert ein Problem, bei dem symbolische Links nicht immer korrekt verarbeitet werden. Die Auswirkungen nennt der Entwickler nicht, es handelt sich jedoch um einen sicherheitsrelevanten Fehler (CVE-2025-5518 / EUVD-2025-24018, CVSS 3.6, Risiko „niedrig„).

Da 7-Zip noch immer keine automatische Update-Prüfung enthält, müssen Nutzer der Software manuell auf die aktuelle Version aktualisieren. Sie steht auf der Download-Seite von 7-Zip zum Herunterladen bereit.

(dmk)