Verschiedene Dell-Computer, auf denen ControlVault 3 installiert ist, sind angreifbar. Um möglichen Attacken vorzubeugen, sollten Admins die Anwendung zeitnah auf den aktuellen Stand bringen.

Sicherheitspatch installieren

Dell ControVault3 ist eine hardwarebasierte Sicherheitslösung, die Zugangsdaten wie Passwörter und biometrische Daten speichert. Nun könnten Angreifer nach erfolgreichen Attacken auf diese Daten zugreifen.

In einer Warnmeldung listet der Computerhersteller insgesamt sieben Sicherheitslücken auf. Diese stecken in der Broadcom-Firmware und den -Treibern. In dem Beitrag finde sich auch die bedrohten Laptopmodelle wie Latitude 7330, Precision 7780 und Pro 13 Plus PB13250. Die Entwickler versichern, ControlVault3 6.2.36.47 abgesichert zu haben. Alle vorigen Versionen seien verwundbar.

Die Gefahren

Am gefährlichsten gelten zwei Lücken (CVE-2025-36553 „hoch„, CVE-2025-32089 „hoch„), an der Angreifer mit einem präparierten ControlVault-API-Call an die CvManager-Funktionalität ansetzen können. Das führt zu einem Speicherfehler (Buffer overflow) und darüber kann Schadcode auf Systeme gelangen. Danach gelten Computer in der Regel als vollständig kompromittiert.

Eine weitere Schwachstelle (CVE-2025-31649) mit dem Bedrohungsgrad „hoch“ kann unerlaubte Zugriffe ermöglichen. Der Grund dafür ist ein hartkodiertes Passwort. Weiterhin können sich Angreifer höhere Rechte verschaffen (CVE-2025-31361 „hoch„).

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Weil ein Passwortspeicher ein äußerst lohnendes Ziel für Cyberkriminelle ist, sollten Admins das Sicherheitsupdate zügig installieren. Andernfalls können sich Angreifer nach einer erfolgreichen Attacke weitreichenden Zugriff auf Firmen-PCs verschaffen.

Erst kürzlich haben Dells Entwickler Sicherheitslücken in Alienware Command Center geschlossen.

(des)

Im November stand das erste monatliche Sicherheitsupdate nach dem offiziellen Windows-10-Support-Ende an, das im Rahmen des erweiterten Supports erhältlich ist. Allerdings läuft das nicht rund, sodass Microsoft sich zur Veröffentlichung eines weiteren Updates außer der Reihe genötigt sieht.

Im Windows Message Center erklärt Microsoft, dass einige Windows-10-22H2-Installationen im kommerziellen Bereich, die für die Extended Security Updates (ESU) angemeldet sind, Probleme bei der Installation des Sicherheitsupdates für den November haben. Am November-Patchday hat Microsoft vor einer Woche für Windows 10 das Update mit der KB-Nummer KB5068781 veröffentlicht, das diverse Sicherheitslücken im Betriebssystem schließt.

Bei der Installation kann in den beobachteten Fällen die Fehlermeldung „0x800f0922 (CBS_E_INSTALLERS_FAILED)“ erscheinen und der Vorgang abbrechen. „Das Problem ist begrenzt auf Maschinen, deren Windows-Betriebssystemlizenzen mittels Windows Subscription Activation im Microsoft 365 Admin Center aktiviert wurden“, erklärt Microsoft weiter. „Betroffene Einrichtungen können das Problem lösen, indem sie das Update KB5072653 ‚Extended Security Updates (ESU) Licensing Preparation Package for Windows 10‘ installieren, das am 17. November veröffentlicht wurde“, erörtern die Redmonder, „nachdem Sie das Vorbereitungspaket (KB5072653) installiert haben, sind Sie in der Lage, das Sicherheitsupdate aus dem November 2025 (KB5068781) zu verteilen“.

Nicht die ersten Probleme mit dem erweiterten Windows-10-Support

Für Organisationen, die anhand von .cab-Dateien Compliance-Prüfungen vornehmen, will Microsoft in Kürze ein neues „Scan Cab“ bereitstellen. Es handelt sich bei dem jetzt gemeldeten Problem mit der Installation des November-Sicherheitsupdates nicht um die ersten Zipperlein mit dem erweiterten Support für Windows 10.

In der vergangenen Woche hatte Microsoft bereits ein Update außerhalb der Reihe für Windows 10 22H2 veröffentlicht. Es korrigiert ein Problem auf Rechnern mit Windows-Home- und -Pro-Lizenzen. Bei denen konnte zuvor der Einrichtungsprozess für den erweiterten Support fehlschlagen. Auf Rechnern, bei denen das der Fall war, bietet Microsoft daher das Out-of-Band-Update KB5071959 an, nach dessen Installation sich die Support-Verlängerung für ein Jahr einrichten lässt.

(dmk)

Wie oft löschen Online-Dienste eigentlich Inhalte ihrer Nutzer:innen? Welche Gründe geben sie an, wenn sie eingreifen? Welche Inhalte laufen besonders Gefahr, von den Anbietern wegmoderiert zu werden? Und wie genau verbreiten sich illegale Inhalte im Netz?

Zumindest einen Teil dieser Fragen soll eine eigens eingerichtete, öffentlich zugängliche EU-Datenbank beantworten. Sie ist Teil des Digital Services Act (DSA), mit dem die EU auf die Übermacht von Online-Diensten reagiert hat. Das Digitalgesetz schreibt weltweit erstmals verbindliche Regeln für Anbieter fest, die unter anderem zu mehr Transparenz im digitalen Raum sorgen und zugleich Nutzer:innen mehr Rechte verschaffen sollen.

Nach einem leicht holpernden Start befüllen inzwischen über 200 Anbieter die Datenbank, wie aus ihren Statistiken hervorgeht. Demnach haben sie in den vergangenen sechs Monaten knapp vier Milliarden Moderationsentscheidungen an die Datenbank übermittelt. Fast die Hälfte davon wurden vollständig automatisiert getroffen. Meist sollen die Nutzer:innen gegen die Hausregeln der Anbieter verstoßen haben. Illegale Produkte auf Online-Marktplätzen wie Google Shopping machen demnach den Löwenanteil der Inhalte aus, zu denen sie den Zugang gesperrt haben.

„Datenbank erfüllt ihre Ziele nicht“

Eine aktuelle Studie der Universität Zürich übt nun scharfe Kritik an der Datenbank sowie ihrem zugrundeliegenden Design. Zwar stelle die DSA-Transparenzdatenbank einen Schritt in Richtung Transparenz dar, weise aber weiterhin erhebliche Mängel auf, heißt es in der Studie. So habe sie mit eingeschränkter Benutzerfreundlichkeit und Zugänglichkeit zu kämpfen, zudem würden Schlüsseldaten für die Überprüfung und Überwachung der Verbreitung illegaler Inhalte fehlen. Ferner gebe es Bedenken hinsichtlich der Konsistenz, Zuverlässigkeit und Validität der Berichte, welche die Online-Dienste regelmäßig abliefern müssen.

„Entsprechend erfüllt die Datenbank ihre Ziele nicht“, schreibt das vierköpfige Forschungsteam um Professorin Natascha Just. Einige Defizite könnten sich wohl mit den konkreten Empfehlungen und Vorschlägen beheben lassen, die das Team in den Raum stellt. Zugleich plädieren die Forschenden jedoch auch „für eine Überprüfung der regulatorischen Ziele selbst“, die der gegenwärtige Ansatz verfehle.

Es ist bemerkenswert, dass „eigentlich zwei von drei Zielen, die für die Datenbank formuliert wurden, mit dem Setup gar nicht erreicht werden können“, sagt Samuel Groesch, Ko-Autor der Studie, gegenüber netzpolitik.org. So soll die Datenbank ein Monitoring der Verbreitung von illegalen Inhalten ermöglichen, und sie soll Moderationsentscheidungen überprüfbar machen, sagt der Forscher. „Beides ist aber mit den verfügbaren Daten nicht möglich.“

Wer entscheidet, was illegal ist?

Dies beginne schon dabei, die Erkenntnisse aus dem Datenmaterial sicher zu interpretieren, wenn man erstmal die Grafiken und Balkendiagramme im Dashboard der Datenbank hinter sich lässt. Denn bei genauerer Betrachtung werde schnell klar, sagt Groesch, dass „Definitionen, Reporting und Dokumentation viele Schwachstellen“ haben, sodass eine verlässliche Interpretation kaum möglich ist.

Illustrieren lässt sich das am Beispiel vermeintlich illegaler inhalte. Mit der Datenbank lässt sich zwar die Anzahl und der Anteil der Inhalte abfragen, die Plattformen als illegal eingestuften haben. Wie bisher liegt dies aber im Ermessensspielraum der Anbieter selbst: „Die Plattformen müssen Inhalte nicht auf Rechtmäßigkeit prüfen und können illegale Inhalte auch als Verstöße gegen Community Standards klassifizieren“, sagt Groesch.

Dies sei für die Plattformen einfacher, aber „damit werden diese Inhalte im Datenbank-Output nicht als illegal ausgewiesen“. Auf dieser Basis lasse sich keine verlässliche Aussage darüber treffen, wie hoch der Anteil illegaler Inhalte tatsächlich ist. Zudem könne der aktuelle Zustand zu falschen Aussagen verleiten, indem nur sehr wenige Inhalte als illegal gemeldet werden und das Problem geringer erscheint, als es womöglich ist.

Zumindest die EU-Kommission nutzt die Datenbank

Auf diese Schwächen angesprochen, verweist die EU-Kommission auf den gesetzlichen Rahmen, den ihr der DSA vorgibt. Relevant ist insbesondere Artikel 17 der EU-Verordnung. Der Abschnitt macht den Anbietern eine Reihe an Vorgaben, wie sie sich gegenüber Nutzer:innen verhalten müssen, wenn sie ihre Inhalte moderieren und gegebenenfalls einschränken. Genau diese Entscheidungen und Begründungen gegenüber Nutzer:innen fließen danach in die Transparenzdatenbank ein und bilden ihre Datengrundlage. „Die technischen Anforderungen der DSA-Transparenzdatenbank spiegeln diese rechtlichen Anforderungen wider“, sagt eine Sprecherin der Kommission zu netzpolitik.org.

Sinnlos sei die Datenbank keineswegs, beteuert die Sprecherin. So sei die Datenbank zum einen „eine wertvolle Ressource für die Überwachung der Einhaltung des DSA durch die Kommission“. Zum anderen sei die Studie aus Zürich samt ihrer Verbesserungsvorschläge nicht nur „willkommen“, sondern ein Beispiel für einen „wachsenden Korpus wissenschaftlicher Literatur zur Inhaltsmoderation“, der vor dem DSA in dieser Form nicht möglich gewesen wäre.

Plattformen stärker zur Rechenschaft ziehen

Ähnlich legt auch die Nichtregierungsorganisation AlgorithmWatch den Status Quo aus. Zwar würden die Autor:innen der Studie „zurecht“ die Schwächen der Transparenzdatenbank thematisieren, sagt Eva Lejla Podgoršek. Ein grundsätzliches Versagen beim Erreichen ihrer Ziele könne sie der Datenbank jedoch nicht attestieren.

Selbst wenn sich die Verbreitung illegaler Inhalte nicht im Detail belastbar monitoren lasse, spiele aus Sicht zivilgesellschaftlicher Organisationen ein weiteres, wenn auch nicht explizit formuliertes, Ziel eine wichtige Rolle: „Nämlich Plattformen stärker zur Rechenschaft zu ziehen und mehr Einblick in die bislang undurchsichtige Praxis der Inhaltsmoderation zu gewinnen. Vorher gab es gar keine Daten – jetzt immerhin einige, wenn diese auch (noch) unzureichend sind“, so Podgoršek.

Auch der Schweizer Forscher Groesch will mit der „kritischen Analyse der Datenbank nicht die generelle Existenz in Zweifel ziehen“. Doch trotz der verbesserten Transparenz rund um die Moderationspraktiken der Anbieter seien die Ziele, so wie sie jetzt formuliert seien, nicht erreichbar. Zudem bestehe die Gefahr, dass „überhöhte Erwartungen erzeugt, die nicht eingelöst werden können“, sagt Groesch.

Daran würden auch die Verbesserungsvorschläge des Forschungsteams kaum etwas ändern, etwa trennscharfe Kategorien, mehr Dokumentation seitens der Online-Dienste sowie erweitertes Reporting. „Für die tiefgehende Überprüfung von Moderationsentscheidungen müsste stets der moderierte Content vorliegen“, sagt Groesch. Allerdings wäre es offenkundig problematisch, wenn derartiges Material öffentlich und an einer Stelle gesammelt zugänglich wäre.

Datenbank „Teil eines größeren Transparenzrahmens“

Zugleich sieht der DSA einen speziellen Zugang für die Forschung vor. Dieser erlaubt potenziell tiefere Einblicke in die Funktionsweise der Online-Dienste, sobald sich die Anlaufschwierigkeiten wie Klagen von Anbietern gelegt haben. Ob die Transparenzdatenbank hierbei eine Rolle spielen kann, bleibt jedoch offen. „Inwieweit Daten aus der Transparenzdatenbank mit dem Datenzugang für die Forschung nach Artikel 40 DSA verbunden werden können, um auch einzelne Entscheidungen überprüfbar zu machen, wird sich in Zukunft noch zeigen“, so Groesch.

In jedem Fall sei die Datenbank in Kombination mit anderen Mechanismen des DSA Teil eines größeren Transparenzrahmens, sagt Podgoršek von AlgorithmWatch. Entscheidend sei dabei, dass sämtliche Bestandteile, einschließlich der Risikobewertungen und des Datenzugangs für die Forschung, zuverlässig funktionieren. „Aus unserer Sicht besteht hier aktuell noch erheblicher Verbesserungsbedarf, ohne den die Transparenzdatenbank nur eingeschränkt aussagekräftig ist.“