Liebe Leser*innen,

soll Europa Jugendlichen den Zugang zu Social Media verbieten? Eigentlich berät darüber gerade ein Expert*innengremium, die EU-Kommission hat es einberufen. Doch Kommissionspräsidentin von der Leyen kann das Ergebnis scheinbar nicht abwarten. In einer Rede klang sie diese Woche bereits sehr festgelegt. „Es ist meine Überzeugung, dass wir einen zeitlichen Aufschub für soziale Medien in Betracht ziehen müssen“, sagte sie.

„Zeitlicher Aufschub“ ist ihr Euphemismus für „Verbot für Jugendliche“. Von der Leyen hat ihn aus der Kommunikationsstrategie zum Social-Media-Verbot der australischen Regierung übernommen. Auch ihre Aufforderung „Geben wir den Kindern die Kindheit zurück“, stammt von dort. Mein Kollege Sebastian hat ihre Rede analysiert und erklärt, warum ein Social-Media-Verbot Kinder nicht zwingend glücklicher macht. Es nimmt ihnen soziale Kontakte und eine Möglichkeit zum Erwerb digitaler Kompetenzen.

Sebastian hat auch aufgeschrieben, was von der Leyen in ihrer Rede noch alles ausgelassen hat. Zum Beispiel, dass die Alterskontroll-App, die sie kürzlich vorgestellt hat, die Menschen zur Nutzung von iOS oder Android zwingt. Menschen mit freien Betriebssystemen wären demnach ebenfalls von altersgeschützten Inhalten ausgesperrt.

Und dann könnte das Alterskontroll-System auch noch mindestens ein wichtiges Privatsphäre-Tool in Gefahr bringen.

Aktuell nutzen in Australien – wie auch in Großbritannien, wo ebenfalls ein Social-Media-Verbot für Jugendliche gilt – viele Heranwachsende Dienste für virtuelle private Netzwerke (VPN), um die Alterssperren zu umgehen. Damit wird ihr Datenverkehr über Länder ohne Alterskontrollen geleitet. Mit diesem Trick ließe sich auch ein europäischer Alterskontroll-App-Zwang umgehen.

Alterskontrollen können nicht effektiv durchgesetzt werden, so lange es unbeschränkte VPNs gibt. Das hat auch der Wissenschaftliche Dienst des Europäischen Parlaments erkannt und dazu festgestellt, dass man Jugendlichen ja auch den Zugang zu VPNs sperren könne. Der Schritt läge nahe, wäre aber hochproblematisch.

VPNs nutzen auch Volljährige, um sich beispielsweise mit ihrer Büro-IT zu verbinden, weil sie ihr Internet-Nutzungsverhalten nicht mit ihrem WLAN oder Internet-Zugangsanbieter teilen wollen, oder auch weil sie kritische Journalist*innen oder Aktivisti mit erhöhtem Datenschutzbedürfnis sind. Für all sie gälte dann, wie auch für die Social-Media-Nutzer*innen, eine Ausweispflicht. Denn um von der Leyens App nutzen zu können, müssen Menschen damit ihren Ausweis scannen – und ihr Gesicht.

Um Kinder vor nicht-altersgerechten Inhalten und suchterzeugenden Mechanismen zu schützen, bräuchte man allerdings gar nicht alle Nutzer*innen zu kontrollieren, sondern nur die Plattformen.

Winkt von Mastodon aus:

Martin

Microsoft warnt vor einer Zero-Day-Sicherheitslücke in Exchange, die bereits in freier Wildbahn attackiert wird. Aktualisierte Software ist noch nicht verfügbar. Microsoft bietet jedoch Gegenmaßnahmen an, die Admins so schnell wie möglich umsetzen sollten.

In der Schwachstellenbeschreibung erklärt Microsoft, dass es sich um unzureichende Filterung von Eingaben bei der Generierung von Webseiten handelt, eine Cross-Site-Scripting-Lücke. Dadurch können nicht authentifizierte Angreifer aus dem Netz Spoofing-Angriffe ausführen (CVE-2026-42897, CVSS 8.1, Risiko „hoch“). Den Schweregrad stuft Microsoft jedoch als „kritisch“ ein. Ein Blog-Beitrag von Microsofts Exchange-Team erklärt das sowie die Gegenmaßnahmen etwas ausführlicher.

Angriffsszenario

Die Schwachstelle betrifft im Speziellen offenbar Outlook Web Access (OWA). Microsoft führt aus, dass Angreifer manipulierte E-Mails an Opfer senden können. Wenn Nutzerinnen oder Nutzer die E-Mail in OWA öffnen und bestimmte, nicht näher erläuterte Interaktionsbedingungen erfüllt sind, wird dann beliebiges JavaScript im Browser ausgeführt.

Betroffen sind Exchange Server 2016, 2019 sowie Exchange Server Subscription Edition (SE) jeweils in jedwedem Update-Level. Microsoft stellt jedoch keine Software-Updates zur Verfügung. Jedoch steht ein automatischer Fix über den Exchange Emergency Mitigation (EM) Service zur Verfügung. Wo der Dienst aktiv ist, hat Microsoft die Gegenmaßnahmen bereits angewendet. Der Dienst wird seit September 2021 verteilt und standardmäßig aktiviert. Im Blog-Beitrag zeigt Microsoft zudem eine manuelle Variante.

Die Gegenmaßnahmen zum Eindämmen der Schwachstelle CVE-2026-42897 haben einige Nebenwirkungen, die Admins kennen sollten. Das Drucken von Kalendern in OWA könnte nicht mehr funktionieren. Inline-Bilder werden im Empfänger-Panel nicht mehr korrekt angezeigt. OWA Light könnte nicht mehr ordnungsgemäß funktionieren – das ist jedoch ohnehin Alteisen und „Deprecated“. Die Gegenmaßnahme zeigt zudem in den Mitigation-Details, dass sie für die vorliegende Exchange-Version ungültig sei – rein kosmetisch, versichern die Redmonder. Sofern „Applied“ als Status angezeigt wird, ist sie wirksam angewendet worden.

Das Exchange-Team arbeitet derweil an einem permanenten, ordentlichen Fix. Der soll künftig als Update für Exchange SE RTM, Exchange 2016 CU23 sowie Exchange Server 2019 CU14 und CU15 erscheinen. Wer Exchange 2016 oder 2019 einsetzt, muss dafür jedoch die zweite Stufe der erweiterten Sicherheitsupdates (ESU) abonniert haben. Weitere Details zum Emergency-Mitigation-Service liefert Microsoft auf einer eigenen Webseite.

(dmk)

Es ist die vierte Sicherheitslücke innerhalb weniger Tage, die Linux-Nutzern eine Ausweitung ihrer Privilegien ermöglicht: Ein Sicherheitsforscher mit dem Spitznamen _SiCK veröffentlichte auf Github mehrere Beispiele, die eine Lücke in der Speicherverwaltung des Linux-Kernels ausnutzen, um eine Wettlaufsituation (Race Condition) zu gewinnen.

Das Beispiel (Proof of Concept – PoC) mit den wohl stärksten Auswirkungen ist ssh-keysign-pwn, das den SSH-Private-Key der Maschine ausliest. Dieser ist unter normalen Umständen nur für den Root-Nutzer lesbar. Weitere PoC-Exploits existieren für „chage“, das während seiner Ausführung die Passwortdatei /etc/shadow liest – und sind prinzipiell für jede andere ausführbare Datei denkbar, die mit Rootrechten läuft (setuid root).

Die Sicherheitslücke versteckt sich tief im Speicher- und Prozessmanagement des Linux-Kernels. Die Funktion ptrace_may_access() schlägt bei Prozessen, die gerade beendet werden, auf eine zu offene Art fehl (fail open). Gewinnt der Exploit eine Race Condition, kann er trotz fehlender Berechtigungen Dateien lesen, die von dem sterbenden Prozess zuvor geöffnet worden waren, also etwa /etc/shadow bzw. /etc/ssh/ssh_host_key.

Gefunden hatte den Fehler das Sicherheitsunternehmen Qualys, behoben wurde er von Linux-Verwalter Torvalds am späten Donnerstagnachmittag. Nur wenig später wurde grsecurity-Gründer Brad Spengler auf den Fehler aufmerksam, widmete ihm eine Kurzanalyse im sozialen Netzwerk X und weckte damit den Ehrgeiz des Sicherheitsforschers _SiCK. Eine CVE-Kennung hat die Sicherheitslücke bislang nicht.

Bereits vor mehreren Jahren war der Fehler dem Google-Sicherheitsexperten Jann Horn ausgefallen, der damals einen Vorschlag zur Behebung gemacht hatte. Umgesetzt wurde er jedoch nicht.

Großer Knopf für Kernelreleases

Der Kernelverwalter Greg Kroah-Hartman schrieb derweil im Fediverse, er habe seine Ausrüstung verbessert. Er habe nun einen „großen Knopf“ auf dem Schreibtisch, um die Veröffentlichung einer neuen Kernelversion auszulösen. Der Knopf wäre ihm gelegen gekommen, um die heutigen Kernel-Releases zu starten, fährt Hartman leicht selbstironisch fort. Tatsächlich enthält der Linux-Kernel 7.0.8 ausschließlich die Fehlerbehebung für die durch ssh-keysign-pwn ausgenutzte Sicherheitslücke.

Die großen und kleineren Linux-Distributionen werden den Fehler nun in neuen Kernelpaketen verpacken und ausliefern müssen, was erfahrungsgemäß eine Weile dauern kann. Bis dahin können Systemverwalter mittels des Kommandos „echo 3 > /proc/sys/kernel/yama/ptrace_scope“ zumindest für alle bisher bekannten Fälle der Sicherheitslücke Abhilfe schaffen.

(cku)