Nutzen Angreifer Schwachstellen im Grafikkartentreiber von Nvidia erfolgreich aus, können sie Dienste abstürzen lassen, unbefugt auf Informationen zugreifen oder sogar Schadcode ausführen. Dagegen stehen abgesicherte Versionen für Linux und Windows zum Download bereit. Weiterhin haben die Entwickler Lücken in der vGPU-Software geschlossen.

Schadcode-Attacken vorstellbar

Einer Warnmeldung zufolge sind acht der insgesamt 13 Softwareschwachstellen im GPU-Treiber mit dem Bedrohungsgrad „hoch“ eingestuft. In allen Fällen können Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler provozieren und im Anschluss Böses tun.

Nvidia vGPU ist ebenfalls für Speicherfehler empfänglich. Bislang gibt es seitens des Grafikkartenherstellers keine Hinweise, dass Angreifer die Sicherheitslücken bereits ausnutzen. Unbekannt ist derzeit, an welchen Parametern Admins bereits attackierte Systeme erkennen können.

Um möglichen Attacken vorzubeugen, haben die Entwickler die folgenden Treiberversionen veröffentlicht:

Linux:

• 535.309.01
• 580.159.03
• 595.71.05

Windows:

(des)

Angreifer können an mehreren Softwareschwachstellen unter anderem in Atlassian Bamboo Data Center and Server, Confluence Data Center and Server und Jira Data Center and Server ansetzen und betroffene Systeme im schlimmsten Fall vollständig kompromittieren. Sicherheitsupdates sind verfügbar.

Bislang gibt es seitens des Softwareherstellers keine Warnungen, dass Angreifer die Schwachstellen bereits ausnutzen. Das kann sich aber schnell ändern, sodass Admins bald reagieren sollten. Die gegen die im Folgenden geschilderten Angriffe gerüsteten Ausgaben sind am Ende dieser Meldung aufgelistet.

Unterschiedliche Gefahren

Im Sicherheitsbereich seiner Website hat Atlassian die nun geschlossenen Sicherheitslücken und konkret bedrohten Versionen aufgelistet. Am gefährlichsten gilt eine „kritische“ Schwachstelle (CVE-2026- 22732) im Sicherheitsframework Spring Security, das Jira Data Center and Server nutzt. An dieser Stelle können Angreifer im Kontext von HTTP-Headern Instanzen attackieren und etwa auf eigentlich abgeschottete Daten zugreifen. Wie ein solcher Angriff konkret ablaufen könnte, ist bislang nicht bekannt.

Die verbleibenden Schwachstellen sind alle mit dem Bedrohungsgrad „hoch“ eingestuft. Hier können Angreifer etwa im Rahmen von Fisheye/Crucible aus der Ferne Schadcode ausführen (etwa CVE-2026-27830). Attackieren Angreifer Confluence Data Center and Server erfolgreich, kann es zu Abstürzen kommen (CVE-2026-29062) oder Daten können leaken (CVE-2026-29146).

Die Entwickler versichern, die Fehler in den folgenden Versionen bereinigt zu haben:

• Bamboo Data Center and Server 12.1.7 (LTS) recommended Data Center Only, 10.2.19 (LTS) Data Center Only, 9.6.26 (LTS) Data Center Only
• Bitbucket Data Center and Server 10.2.2 to 10.2.3 (LTS) recommended Data Center Only, 9.4.19 to 9.4.20 (LTS) Data Center Only
• Confluence Data Center and Server 10.2.11 (LTS) recommended Data Center Only, 9.2.20 (LTS) Data Center Only
• Fisheye/Crucible 4.9.10 recommended
• Jira Data Center and Server 11.3.5 to 11.3.6 (LTS) recommended Data Center Only, 10.3.20 to 10.3.21 (LTS) Data Center Only, 9.12.35 (LTS)
• Jira Service Management Data Center and Server 11.3.5 to 11.3.6 (LTS) recommended Data Center Only, 10.3.20 to 10.3.21 (LTS) Data Center Only

(des)

Fünf Tage, nachdem Bundeskanzler Friedrich Merz (CDU) auf dem Katholikentag „Nein“ zum Social-Media-Verbot für Minderjährige gesagt hat, zeigt sich Familienministerin Karin Prien (CDU) zurückhaltend. Auf der Berliner Digitalkonferenz re:publica weicht sie entsprechenden Fragen aus dem Publikum eher aus.

„Ich habe mich nie für ein Verbot augesprochen, sondern für wirksame Altersbegrenzung“, sagt die Familienministerin am heutigen Mittwoch. Das ist ein Euphemismus, also eine Beschönigung. Unterm Strich ist eine „wirksame Alterbegrenzung“ dasselbe wie ein Verbot für Minderjährige.

Hintergrund sind die seit Monaten vorgebrachten Forderungen nach einem Social-Media-Verbot für Minderjährige nach australischem Vorbild, begleitet mit strengen Alterskontrollen. In Australien dürfen junge Menschen keinen Account auf Plattformen wie Instagram oder TikTok haben. Ein solches Modell wollen unter anderem die CDU, die SPD-Fraktion, mehrere EU-Mitgliedstaaten und EU-Kommissionspräsidentin Ursula von der Leyen (CDU).

Ähnlich wie die Familienministerin hat Ursula von der Leyen den Begriff „Verbot“ jüngst gemieden – und lieber von „Aufschub“ gesprochen. Die wolkige Wortwahl der Spitzenpolitiker*innen könnte eine Reaktion auf die umfassende Kritik sein, unter anderem aus Kinderschutz, Medienpädagogik und Wohlfahrt, aus Forschung und IT-Sicherheit bis hin zu Elternverbänden. Die Kritiker*innen lehnen es ab, junge Menschen von gesellschaftlicher Teilhabe auszuschließen. Viele warnen zudem davor, eine technische Infrastruktur zur Kontrolle aller Nutzer*innen im Netz zu errichten.

Prien verweist auf Fachleute und EU-Staaten

Verbot, Aufschub, Begrenzung: Ändern sich nur die Worte oder auch die Inhalte? Zumindest bei ihrem Auftritt auf der re:publica lässt sich Prien nicht tief in die Karten blicken. Stattdessen setzt sie mindestens drei Akzente, die von der zentralen Streitfrage ablenken.

Erstens: Prien verweist auf das von ihr einberufene Expert*innen-Gremium, das bis zum 24. Juni Vorschläge für Kinder- und Jugendschutz im Netz vorlegen soll. „Wir sind da mit unseren Überlegungen noch nicht am Ende und warten auf die Empfehlungen.“ Zugleich hielt sie sich alle Türen offen, falls die Regierung mit den Ergebnissen doch nicht zufrieden ist. „Klar ist immer, entscheiden muss die Politik.“

Zweitens: Prien erinnert daran, dass Social-Media-Regulierung vor allem europäisch ist. „Das werden wir mit unseren europäischen Nachbarn und Partnern tun müssen.“ Das ist korrekt – als größtes Land in der EU spielt Deutschland hierbei aber eine wichtige Rolle.

Drittens: Statt aufs Social-Media-Verbot näher einzugehen, lenkt die Ministerin den Blick auf andere Aspekte. „Wir brauchen eine Gesamtstrategie, die Befähigung, Schutz und Teilhabe gleichermaßen im Blick hat.“ Allerdings gibt es unter den diskutierten Maßnahmen keine, die so umfassend die Grundrechte von gleichermaßen jungen und älteren Menschen beträfe.

„Schade, dass sie nicht klar gemacht hat, wo sie steht“

Das Herumlavieren der Ministerin zeigt sich besonders deutlich bei einer Aussage zur Abwägung von Grundrechten. Grundrechte sind ein wichtiger Aspekt der Debatte, denn ein Social-Media-Verbot würde das Recht junger Menschen auf Information und Teilhabe einschränken; die damit verbundenen Alterskontrollen schränken je nach Ausgestaltung Datenschutz und Privatsphäre ein.

Prien sagt, zwar werde man immer abwägen müssen zwischen Kinder- und Jugendschutz und anderen Werten. „Aber beim Kinder- und Jugendschutz hört meiner Meinung nach der Spaß auf.“

Die Wortwahl fällt ins Auge, denn das Abwägen von Grundrechten ist kein Spaß; es geht um potenziell tiefe Eingriffe. Selbst beim Fokus auf Kinder und Jugendliche ist die Abwägung komplex. In einer Stellungnahme schreibt etwa das Deutsche Kinderhilfswerk: „Pauschale Verbote entmündigen Kinder und Jugendliche.“ Sie stünden in krassem Widerspruch zum Recht auf digitale Teilhabe, das die UN-Kinderrechtskonvention garantiert.

Die Publikumsfrage nach der aktuellen Position der Ministerin zum Social-Media-Verbot hatte Felix Preu gestellt. Er kümmert sich beim Bund der katholischen Jugend (BDKJ) um Digitalpolitik. Mit der Antwort der Ministerin ist er nicht so recht zufrieden, wie er gegenüber netzpolitik.org erklärt. „Ich finde es schade, dass sie nicht klar und transparent gemacht hat, wo sie im Moment steht.“ Er wünsche sich „ein klares Bekenntnis“, dass jungen Menschen Teilhabe ermöglicht wird. Verbote dürften nur das allerletzte Mittel sein, nachdem alle anderen Maßnahmen gescheitert sind.

Strenge Maßnahmen zum Schutz junger Menschen im Netz kann die EU auf Grundlage des Gesetzes über digitale Dienste (DSA) von Plattformen einfordern; erste Verfahren, etwa gegen TikTok, laufen bereits.

Kurz nach den Empfehlungen des deutschen Expert*innen-Gremiums Ende Juni soll auch ein Gremium auf EU-Ebene eigene Empfehlungen vorlegen. Die EU-Kommission könnte daraufhin noch bis Ende September einen passenden Gesetzentwurf vorlegen.