Die PC-Reinigungssoftware Microsoft PC Manager ist in hiesigen Breitengraden noch gar nicht offiziell verfügbar, weist aber bereits eine kritische Sicherheitslücke auf. Die will Microsoft jedoch bereits geschlossen haben.

Die Rechner-Optimierungssoftware von Microsoft verspricht einfachen Zugriff auf Betriebssystemfunktionen zum Aufräumen und Optimieren des Rechners – und einige weitere Reinigungsfunktionen, die anders als kommerziell erhältliche Optimierungswerkzeuge den Betrieb von Windows und der Software nicht negativ beeinflussen sollen. Jetzt hat Microsoft jedoch eine Sicherheitsmitteilung veröffentlicht, die diese Annahme etwas trübt.

„Unzureichende Autorisierung in Microsoft PC Manager ermöglicht nicht autorisierten Angreifern, ihre Rechte über das Netzwerk zu erhöhen“, schreiben die Entwickler so knapp wie kryptisch. Es bleibt vollkommen unklar, an welcher Stelle diese Autorisierung stattfindet (oder eben nicht) und wie der Missbrauch aussehen könnte – es lässt sich daher auch nicht ableiten, wie sich das erkennen lassen würde (CVE-2025-53795 / EUVD-2025-25500, CVSS 9.1, Risiko „kritisch„).

Weitere Details: Mangelware

Microsoft gibt keine Anweisungen, wie Betroffene sich vor der Lücke schützen können. Zur Begründung schreibt das Unternehmen: „Die Schwachstelle wurde bereits vollständig von Microsoft beseitigt. Nutzer dieses Dienstes müssen keine Maßnahmen ergreifen. Diese Mitteilung dient lediglich der Transparenz“.

Es bleibt damit unklar, welche Versionen betroffen sind. Ein Link auf ein Dokument mit Bezug auf Schwachstelleneinträge zu Cloud-Diensten deutet jedoch an, dass es sich um eine Funktion handelt, die Microsoft serverseitig korrigieren konnte.

Die Installation des Tools gelingt etwa an der Kommandozeile durch den Aufruf von „winget install Microsoft.PCManager.Beta -s winget“. Das löst bei bereits installierter Software zudem die Suche nach Aktualisierungen aus. Allerdings wird winget derzeit nicht fündig, es erkennt die Version 3.10.4.0 von Microsofts PC Manager als aktuell.

Die Optimierungssoftware soll in Zukunft integrierter Bestandteil von Windows 11 werden. Die Webseite zum Microsoft PC Manager selbst bietet die Software nach wie vor lediglich in den USA und China an.

(dmk)

Angreifer können an zwei Sicherheitslücken in Dell Remote Access Controller (iDRAC) zum Verwalten von Servern ansetzen. Eine aktualisierte Version ist gegen mögliche Attacken abgesichert.

Sicherheitspatch verfügbar

In einer Warnmeldung schreiben die Entwickler, dass konkret iDRAC Service Module unter Windows bedroht ist. Sie versichern, dass die Version 6.0.3.0 abgesichert ist. Alle vorigen Ausgaben sollen verwundbar sein.

Für beide Attacken benötigen lokale Angreifer bereits niedrige Nutzerrechte, Angriffe sind also nicht ohne Weiteres möglich. In beiden Fällen kann Schadcode auf Systeme gelangen und diese kompromittieren (CVE-2025-38742 „mittel„, CVE-2025-38743 „hoch„).

Weiterführende Details zu möglichen Angriffsszenarien gibt es derzeit nicht. Unbekannt bleibt auch, ob Angreifer die Lücken bereits ausnutzen. Um Attacken vorzubeugen, sollten Server-Admins sicherstellen, dass iDRAC auf dem aktuellen Stand ist.

Anfang August hat Dell Sicherheitslücken in der Backuplösung PowerProtect geschlossen.

(des)

In Episode 141 des c’t-Datenschutz-Podcasts widmen sich Redakteur Holger Bleich und Heise-Justiziar Joerg Heidrich gemeinsam mit Dr. Sebastian Kraska den wichtigsten Datenschutzthemen für Website-Betreiber. Kraska ist Rechtsanwalt und Geschäftsführer der IITR Datenschutz GmbH, die Unternehmen bei Datenschutz und Informationssicherheit berät.

Am Beispiel eines fiktiven Katzenfutter-Shops arbeiten die drei systematisch zentrale Anforderungen ab. Zunächst geht es um Cookie-Banner: Technisch notwendige Cookies für Warenkörbe oder Spracheinstellungen benötigen keine Einwilligung. Anders sieht es bei Tracking-Tools oder anderen nicht technisch erforderlichen Cookies aus. Hier müssen Website-Betreiber eine echte Wahlmöglichkeit bieten. Die Aufsichtsbehörden fordern dabei gleichwertige Ja- und Nein-Buttons auf derselben Ebene sowie granulare Einstellungsmöglichkeiten.

Bei der Datenschutzerklärung rät Kraska Betreibern kleinerer Websites zu Generatoren statt Eigenbauten. Die Erklärung muss transparent über alle Datenverarbeitungen informieren – von Tracking-Tools über Rechtsgrundlagen bis zu Empfängern der Daten. Je komplexer die Website, desto umfangreicher wird das Dokument. Die Datenschutzerklärung von heise.de umfasst beispielsweise etwa 14 Druckseiten, wie Heidrich anmerkt.

Cookiefreies Tracking

Ein weiteres Thema sind Datenübermittlungen in Drittländer, etwa durch Google Analytics oder eingebundene Schriftarten. Bei Google Fonts empfiehlt Kraska, die Schriften lokal zu hosten, statt von Google-Servern zu laden. So vermeidet man ungewollte Datenübertragungen. Für YouTube-Videos oder Google Maps können Overlays eingesetzt werden, die erst nach expliziter Zustimmung die Inhalte laden.

Interessant ist die Diskussion über cookiefreies Tracking: Tools wie Matomo oder etracker kann man so konfigurieren, dass sie nur aggregierte Daten ohne individuelles Nutzerverhalten erfassen. Dann ist keine Einwilligung nötig. Für viele kleine Websites reichen diese aggregierten Daten völlig aus, um Besucherzahlen und Verweildauer zu messen.

Security first

Die technische Sicherheit darf nicht vernachlässigt werden: SSL-Verschlüsselung ist mittlerweile Standard, regelmäßige Backups und Updates sind Pflicht. Kraska empfiehlt zudem Zwei-Faktor-Authentifizierung für Backend-Zugänge. Passwörter dürfen niemals im Klartext gespeichert werden.

Abschließend beruhigt Kraska Website-Betreiber: Die Aufsichtsbehörden zeigen sich bei kleineren Verstößen meist kulant und unterstützen bei der Behebung von Mängeln. Wichtig sei, sich erkennbar zu bemühen und die grundlegenden Anforderungen umzusetzen. Für kleine Websites und Vereine gebe es zudem kostenlose Vorlagen und Tools, die den Einstieg erleichtern.

Episode 141:

Hier geht es zu allen bisherigen Folgen:

(hob)