Eine kritische Sicherheitslücke klafft in dem Linux-Werkzeug „sudo“ und macht unprivilegierte Nutzer im Handumdrehen zu „root“, dem Systemverwalter. Grund der Malaise: Ein Fehler in der chroot-Funktion von sudo. Eigentlich soll diese Funktion Benutzer in ihrem Heimatverzeichnis „einsperren“, ermöglicht ihnen aber den Ausbruch aus selbigem und die Erweiterung ihrer Rechte. Ein Update steht bereit, Admins von Mehrbenutzersystemen sollten zügig handeln.

Die Sicherheitslücke macht sich einen Fehler in der chroot-Implementation zunutze. Zwischen zwei Funktionsaufrufen ruft diese den „Name Service Switch“ (NSS) auf, der wiederum die Datei /etc/nsswitch.conf lädt. Der Angreifer kann diese Funktion nun dazu bringen, eine von ihm präparierte Datei mit C-Code (eine dynamische .so-Bibliothek) zu laden und mit Root-Rechten auszuführen.

Kritische Lücke in vielen Versionen

Die Lücke versteckt sich in verschiedenen sudo-Versionen – unklar ist, in welchen genau. Der Entdecker, Rich Mirch von „Stratascale Cyber Research Unit“, konnte nicht alle Versionen testen. Er ist jedoch sicher, die Lücke sei in älteren Versionen vor sudo 1.8.32 nicht enthalten, da der schadhafte Code erst in dieser Version auftauchte. In den von ihm getesteten stabilen Versionen 1.9.14 bis 1.9.17 findet sich der Bug. Er hat die CVE-ID CVE-2025-32463 und eine CVSS-Bewertung von 9,2 (Priorität: „kritisch„). Der Entdecker stellt einen Beispielexploit bereit.

Das macht viele, möglicherweise Millionen Linux-Systeme angreifbar. Ubuntu in seiner aktuellen Version 24.04.1, Fedora 41 und potenziell viele andere Distributionsversionen sind gefährdet. Aktualisierte Pakete gibt es jedoch bereits, unter Ubuntu etwa für alle Versionen von Jammy bis Plucky. Sie portieren den Bugfix, der in sudo 1.9.17p1 enthalten ist, in die dort jeweils genutzte sudo-Version. Die aktuell stabile Debian-Version „Bookworm“ ist nicht betroffen – ihre sudo-Version ist schlicht zu alt.

Admins sollten also zügig reagieren und die von ihrer Linux-Distribution bereitgestellten Updates einspielen. Dabei sollten sie zudem nicht vergessen, Vorlagen für Cloud-VMs auf den neuesten Stand zu bringen. Eine frisch installierte Ubuntu-VM bei einem großen deutschen Cloudhoster war am späten Nachmittag des 1. Juli 2025 noch anfällig für die Sicherheitslücke, obgleich das aktualisierte Paket bereits bereitstand. Den von Entdecker Mirch bereitgestellten „Proof of Concept“-Exploit konnten wir nachstellen, mussten dafür lediglich einen C-Compiler installieren.

Mehr sudo-Ungemach

Auch an einer weiteren Stelle in sudo fand der Sicherheitsforscher Rich Mirch eine Sicherheitslücke: Sind Kommandos in der Konfigurationsdatei /etc/sudoers auf bestimmte Hosts eingeschränkt, lässt sich diese Beschränkung durch geschickte Kombination mehrerer Kommandozeilenparameter überlisten. Die Lücke mit der CVE-ID 2025-32462 ist jedoch auf einem frisch installierten System mit Standardeinstellungen nicht ausnutzbar. Sie ist daher nur mit einem CVSS-Punktwert von 2,8 und niedriger Priorität eingestuft. Die Lücke lauerte seit 12 Jahren in sudo und ist nun in Version 1.9.17p1 oder neuer behoben. Übrigens anders als ihr „großer Bruder“ auch auf Debian GNU/Linux: Dort behebt sudo 1.9.13p3-1+deb12u2 den Fehler.

(cku)

Google startet in Deutschland zusammen mit den Sparkassen ein Pilotprojekt für ein Altersverifikationssystem. Es basiert unter anderem auf Google Wallet, wobei die Sparkasse für die Altersverifikation verantwortlich zeichnet. Es soll unkompliziert ermöglichen, im Netz oder bei Einkäufen einen Altersnachweis zu erbringen – das Ganze auch noch datensparsam.

Google arbeitet bereits länger an einer digitalen Identität (DI), die persönliche Informationen in der Google Wallet speichert und selektiv freigeben kann. Anstatt wie beim Vorzeigen eines Ausweises alle Informationen wie Name, Adresse und weitere persönliche Daten zu teilen, erhalten anfragende Stellen so tatsächlich nur das Geburtsdatum zur Altersprüfung, erörtert Google. Mitte Juni hat Google ein Altersverifikations-Tool für Europa angekündigt, welches die hiesigen Besonderheiten berücksichtigt.

Basis: Credential Manager für Android

Google liefert mit der Credential Manager API eine sichere Möglichkeit, um Identitätsinformationen einschließlich des Alters zu teilen. Webseiten und Apps können dieses Tool nutzen, um etwa die Mobil-Wallet oder digitale Altersverifikations-App abzufragen – und erhalten ausschließlich die nötige Altersinformation, bekräftigt Google. Das soll eine der größten Herausforderungen der universellen Altersverifikation knacken. In einigen Bundesstaaten der USA und in Großbritannien können Interessierte ihre IDs bereits in der Google Wallet ablegen und damit ihr Alter nachweisen, verkündete Google Ende April.

Auf der Konferenz „Global Digital Collaboration Conference“ in Genf hat die Sparkasse nun die Zusammenarbeit mit Google angekündigt. Die Sparkasse mit ihren rund 50 Millionen Kunden stellt den Altersnachweis aus. Der lässt sich dann mittels der Credential Manager API von Google unter Android und mit Chrome bei Apps und Webseiten mit einem Klick einfach freigeben. Kinder und Jugendliche lassen sich so vor ungeeigneten Inhalten schützen.

Weitere Details bleiben derzeit noch unklar. Das Projekt soll in den kommenden Monaten in die Pilotphase gehen. Wie genau der Altersnachweis der Sparkasse gegenüber den Google-Systemen aussieht, ist noch nicht bekannt. Aktuell lassen sich Sparkassenkarten nicht zur Google Wallet hinzufügen – das wäre ein Weg, wie sich die Volljährigkeit belegen ließe. Bislang können sich Sparkassenkundinnen und -kunden damit behelfen, ein Paypal-Konto in der Google Wallet zu hinterlegen und darüber mit der Wallet zu zahlen.

Die Pflicht zur Alterskontrolle ist in Europa ein zunehmend drängenderes Thema, da die EU und einige Mitgliedsstaaten auf eine strengere Umsetzung aus Jugendschutzgründen pochen – unter anderem werden klare Altersgrenzen und Alterskontrollen für die Nutzung von Social-Media-Angeboten gefordert. Der gestiegene Druck in der EU führte im Juni bereits zu einem mehrwöchigen Rückzug der Anbieters Aylo aus Frankreich, der große Porno-Portale wie Pornhub betreibt. Die Franzosen behalfen sich in ihrer Not mit der vermehrten Nutzung von VPN-Diensten zur Verschleierung ihrer Geo-IP.

(dmk)

Der Internationale Strafgerichtshof (IStGH) ist wieder Ziel einer Cyberattacke geworden. Die in Den Haag sitzende Institution sprach am Montag von einem „neuen, komplexen und gezielten Cybersicherheitsvorfall“. Dieser sei Ende voriger Woche entdeckt und mittlerweile eingedämmt worden. Interne „Warn- und Reaktionsmechanismen“ hätten funktioniert. Derzeit erfolge „eine gerichtsweite Folgenabschätzung“, heißt es weiter. Es würden Maßnahmen ergriffen, um die Auswirkungen des Angriffs abzuschwächen.

Weitere Details etwa über kompromittierte Daten oder Konten hat der IStGH, der vor 23 Jahren mit der Ratifizierung des sogenannten römischen Statuts durch über 60 Staaten offiziell eingerichtet wurde, bislang nicht bekannt gegeben. Der Gerichtshof war bereits 2023 ins Visier eines damals als „beispiellos“ bezeichneten Cyberangriffs geraten. Im Anschluss verdichteten sich Hinweise, dass es sich dabei um einen Versuch handelte, Spionage zu betreiben und den Auftrag der Einrichtung zu untergraben. Diese erhöhte im Anschluss die eigenen IT-Sicherheitsmaßnahmen. Potenzielle Täter wurden bislang nicht genannt.

Haftbefehle gegen Netanjahu, Putin & Co.

Der IStGH sorgte in den vergangenen Jahren wiederholt für Schlagzeilen. So erließ er Haftbefehle gegen den israelischen Regierungschef Benjamin Netanjahu, den damaligen israelischen Verteidigungsminister Joav Gallant sowie mehrere Anführer der Hamas. Ihnen werden mutmaßliche Verbrechen gegen die Menschlichkeit und Kriegsverbrechen im Gaza-Krieg zur Last gelegt. Auch gegen den russischen Präsidenten Wladimir Putin liegt ein Haftbefehl vor. Einer der Vorwürfe gegen ihn: unrechtmäßige Verschleppung ukrainischer Kinder.

Jüngst sorgte die Meldung für Aufsehen, dass der IStGH-Chefankläger Karim Khan nach US-Sanktionen von seinem Microsoft-basierten E-Mail-Konto ausgeschlossen wurde. Der Softwareriese behauptet, von ihm ergriffene Maßnahmen hätten „in keiner Weise die Einstellung der Dienste für den IStGH“ umfasst. Die Open Source Business Alliance (OSBA) sprach trotzdem von einem Weckruf für digitale Souveränität.

(dahe)