Datenschutz & Sicherheit
Microsoft Edge: Keine Klartext-Passwörter mehr im Browserprozess
Vor zwei Wochen schlug hohe Wellen, dass Microsofts Webbrowser Edge beim Start alle Passwörter aus dem Passwort-Manager lädt – und im Klartext im Prozessspeicher vorhält. Die Entwickler haben nach den Medienberichten reagiert, aktualisierte Browser-Versionen machen das nicht mehr.
Weiterlesen nach der Anzeige
In den Update-Notizen zu Microsoft Edge für das Update vom Freitag haben die Entwickler angegeben, das Problem gelöst zu haben. Dort schreiben sie, sie haben Änderungen am Passwort-Manager vorgenommen. Die sollen sicherstellen, dass Passwörter nicht mehr beim Browser-Start in den Speicher geladen werden. Ein Blog-Post liefert zudem weitere Informationen. Zunächst erklären die Programmierer, dass das Verhalten von Edge zuvor basierend auf den bestehenden Kriterien ins erwartete Bedrohungsmodell passe. Das Risiko entstehe dadurch, dass ein Angreifer das Gerät bereits kompromittiert habe. Dennoch sehe man Verbesserungspotenzial.
Als erste Maßnahme lädt Microsoft Edge nun beim Start die Passwörter nicht mehr in den Speicher. Die Verteilung des Updates erfolgt mit Priorisierung, für Microsoft Edge Version 148 und neuere. Wer den Edge-Passwort-Manager nutze, müsse nichts weiter machen, die Änderung solle durch den regulären Update-Kanal eintrudeln.
Behandlung der Fehlermeldung nicht so prickelnd
Die Entwickler schreiben auch, dass sie die Behandlung derartiger Fehlerberichte noch mal genauer unter die Lupe nehmen. Die erste Reaktion auf den Fehlerbericht von Tom Jøran Sønstebyseter Rønning basierte auf bestimmten Kriterien für das Chromium-Projekt. Das sei als Grundlinie zu verstehen, Microsoft wolle die Latte für sich aber höher legen. Der Prozess zur Behandlung von Fehlerberichten von IT-Forschern soll noch einmal überprüft werden. Die Entwickler wollen einen Fokus auf Geschwindigkeit, Klarheit und einen Defense-in-depth-Denkansatz stärken und früher damit ansetzen.
Vor rund zwei Wochen konnten wir das Problem einfach nachstellen. Ein frisch im Passwort-Manager von Microsoft angelegtes Konto führte dazu, dass nach einem Browser-Neustart das Passwort im Klartext im Dump des Prozessspeichers auffindbar war. Der Test mit einer aktuellen Microsoft-Edge-Version, konkret 148.0.3967.70, liefert nach Suche im Prozessspeicher das Passwort nicht mehr einfach aus. Wer den Chromium-basierten Edge nutzt, sollte daher sicherstellen, dass der Browser auf aktuellem Stand ist.
(dmk)
Datenschutz & Sicherheit
Lücken in Adobe ColdFusion und Campaign Classic: Patchdayzyklus verdoppelt
Adobes Enterprise-Marketing-Automatisierungslösung Campaign Classic und die Web-Anwendungsplattform sind über mehrere „kritische“ Sicherheitslücken mit Höchstwertung angreifbar. Nach erfolgreichen Attacken kann Schadcode Computer vollständig kompromittieren. Admins sollten die verfügbaren Sicherheitsupdates zeitnah installieren. Überdies will der Softwarehersteller ab sofort zweimal pro Monat Sicherheitspatches verteilen.
Weiterlesen nach der Anzeige
Sieben Lücken mit maximalem Score
Wie aus einer aktuellen Warnmeldung zu ColdFusion hervorgeht, haben die Entwickler insgesamt elf Sicherheitslücken geschlossen. Davon sind alle Plattformen betroffen. Acht der Schwachstellen sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Für sechs Lücken (CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316, CVE-2026-48282, CVE-2026-48283) wurde der maximale CVSS Score 10 von 10 vergeben.
Vom CVSS Score leitet sich der Schweregrad einer Lücke und dementsprechend die Priorisierung von Sicherheitsupdates ab. Demzufolge sollten Admins umgehend handeln, um Systeme vor möglichen Attacken zu schützen. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.
Um in diesen Fällen Schadcode auf Systeme zu schieben, können Angreifer präparierte Dateien auf einem nicht näher beschriebenen Weg hochladen. Alternativ gelingt das aufgrund einer unzureichenden Eingabevalidierung. Das lässt darauf schließen, dass bestimmte Eingaben nicht ausreichend überprüft werden und so von Angreifern manipulierte Befehlsketten durchkommen.
Eine weitere Sicherheitslücke mit Höchstwertung (CVE-2026-48286 „kritisch“) bedroht einem Beitrag zufolge Campaign Classic unter Linux und Windows. Auch hier ist die Beschreibung der Schwachstelle wie von Adobe gewohnt knapp. Dort ist lediglich die Rede von einer falschen Autorisierung.
Sicherheitsupdates
Damit Angreifer nicht an den Lücken ansetzen können, müssen Admins Campaign Classic ACC v7: 7.4.3 build 9397 und ColdFusion 2023 Update 21 oder ColdFusion 2025 Update 10 installieren. Alle vorigen Versionen sind den Entwicklern zufolge verwundbar.
Weiterlesen nach der Anzeige
Patchday-Veränderung
In einem Beitrag schreibt Adobe, dass sie ab sofort zweimal pro Monat Sicherheitsupdates veröffentlichen wollen. Bislang geschah das immer einmal pro Monat am zweiten Dienstag im Monat. Nun gibt es zusätzlich am vierten Dienstag Patches. Als Grund dafür gibt Adobe an, dass Angreifer in Zeiten von KI jüngst bekannt gewordene Schwachstellen bereits nach wenigen Stunden statt Tagen ausnutzen. Demzufolge müssen Updates schneller erscheinen.
(des)
Datenschutz & Sicherheit
Fehler in „E-Mail-Adresse verbergen“ von Apple weiter ohne Fix
Ein Dienst, der E-Mails verbirgt, sollte E-Mails verbergen – das sollte klar sein. Offenbar gelingt dies Apples „Hide My E-Mail“-Dienst alias „E-Mail-Adresse verbergen“ innerhalb von iCloud+ aber nicht. Es soll eine Sicherheitslücke geben, die ermöglicht, aus der versteckten E-Mail-Adresse wieder die echte zu machen. Das berichtet das investigative IT-Blog 404 Media, das sich auf einen detaillierten Bericht von EasyOptOuts stützt. Schlimmer noch: Apple soll seit mindestens einem Jahr über den Fehler informiert sein, hat ihn bislang aber noch nicht behoben. Genauere Details wurden bislang noch nicht veröffentlicht.
Weiterlesen nach der Anzeige
Methode soll mit allen Adressen funktionieren
Der Angriff konnte auch in dieser Woche noch durchgeführt werden, berichtet 404 Media, das die Möglichkeit mit einer eigenen versteckten E-Mail-Adresse durchexerziert hat. Entdeckt und an Apple gemeldet wurde das Sicherheitsloch vom Privacy-Dienst EasyOptOuts. Dessen Mitgründer Tyler Murphy sagte, er wisse nicht, warum Apple noch nicht tätig geworden ist. Das habe sich komisch angefühlt, weshalb das Unternehmen nach der langen Zeit nicht länger warten wollte und an die Öffentlichkeit ging.
Weder EasyOptOuts noch 404 Media veröffentlichten konkrete Details, wie der Angriff zu replizieren ist. EasyOptOuts hat dies gegenüber Apple aber genau beschrieben. „Hide My Email leakt E-Mail-Adressen, die versteckt sein sollten“, so Murphy. Ist die Originaladresse einmal vorhanden, könnten Angreifer über frei zugängliche Personendatenbanken weitere Informationen ermitteln – davor soll „E-Mail-Adresse verbergen“ eigentlich schützen.
Fix ist kein Fix, weitere Kritik an „E-Mail-Adresse verbergen“
Es ist unklar, ob alle versteckten Adressen angreifbar sind, Murphy zufolge gelang es aber mit 100 Prozent aller getesteten. Apple wurde das Problem im Juni 2025 mitgeteilt. Im März teilte Apple den Entdeckern dann mit, es habe bei einer Systemumstellung einen Fix gegeben. Dem war aber nicht so. Nach einem weiteren Hin und Her hieß es von Apple, man werde sich das Problem ansehen. Bis mindestens Mai lief die Untersuchung weiter. Damals bat Apple EasyOptOuts auch, Stillschweigen zu bewahren. Ende Mai hieß es dann, der Fix komme „in den kommenden Wochen“. Getan habe sich bislang nichts, so Murphy gegenüber 404 Media. Am 30. Juni 2026 behauptete Apple erneut, das Problem sei behoben – EasyOptOuts verifizierte jedoch, dass die Lücke weiterhin offen ist. Apple kommentierte den Bericht nicht.
Zuletzt hatte es Kritik an einer von Apple angepeilten Änderung bei „Meine E-Mail verbergen“ gegeben: Das Unternehmen plant eine einheitliche, leicht zu identifizierende Domain für diese Accounts. Damit ließen sie sich von Diensten und Websites wesentlich leichter wegfiltern beziehungsweise sperren, was unschön wäre. Weiterhin wurde bekannt, dass Apple Namen von Besitzern von solchen Accounts auch an Polizeibehörden weitergibt. „E-Mail-Adresse verbergen“ ist Teil des Abodienstes iCloud+, der mit mehr Speicherplatz mindestens 99 Cent im Monat kostet.
Weiterlesen nach der Anzeige
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
(bsc)
Datenschutz & Sicherheit
Gefahren von Alterskontrollen: Die Expert*innen verheddern sich
Kein Aspekt der aktuellen Jugendschutz-Debatte ist brisanter als Alterskontrollen für alle. Es droht ein Kontroll-Apparat, dem sich Menschen im Netz flächendeckend fügen sollen. Einmal eingerichtet ließe er sich mühelos in einen Apparat zur Massenüberwachung ausbauen: Tracking statt Datenschutz, Klarnamen statt Anonymität.
Der Deutsche Ethikrat hat die Probleme erkannt, als er Mitte Juni ausführlich vor den Gefahren von Alterskontrollen gewarnt hat. Dennoch hat der Ethikrat einen Spielraum für „verpflichtende“ Alterskontrollen gesehen. Bekräftigt hat das inzwischen eine weitere Gruppe aus Fachleuten: die vom Familienministerium einberufene Expert*innen-Kommission.
Sie hat am am 24. Juni ihre 56 Empfehlungen für Kinder- und Jugendschutz im Netz vorgelegt. Ähnlich wie der Ethikrat erkennen die Expert*innen zumindest einige Gefahren von Alterskontrollen an, raten von manchen Methoden ab. Andererseits sind Alterskontrollen eine zentrale Säule ihrer Empfehlungen. Wie geht das zusammen?
Zwar konnten sich die Expert*innen nicht darauf einigen, ob es wie in Australien ein einheitliches Mindestalter für soziale Medien geben soll – oder eher flexible Altersgrenzen je nach Dienst und Risiko. In beiden Fällen jedoch müssten Menschen im Netz nach Altersgruppen sortiert werden. Ohne Alterskontrollen scheint es den Expert*innen zufolge also nicht zu gehen. Aber mit ihnen geht es auch nicht, wie die Analyse zeigt.
Das sind die Lücken in der Argumentation
Aus den Warnungen und Empfehlungen der Expert*innen rund um Alterskontrollen entsteht kein schlüssiges Bild. Zentral ist folgende Passage:
Besonders problematisch sind Verfahren, die biometrische Merkmale auswerten oder anhand umfangreicher Verhaltens- und Nutzungsdaten auf das Alter schließen. Sie bergen Risiken für die Privatsphäre, die informationelle Selbstbestimmung und den Schutz vor Diskriminierung. Gleichzeitig droht eine weitere Machtkonzentration bei großen Plattform- und Betriebssystemanbietern, wenn diese zu zentralen Vermittlern digitaler Altersnachweise werden.
Damit fassen die Expert*innen mehrere Gefahren von Alterskontrollen treffend zusammen. Der Clou: Kurz darauf empfehlen die Expert*innen Methoden der Alterskontrolle, die zumindest manche dieser Gefahren ebenso mit sich bringen.
Zwar sollten primär Eltern prüfen, worauf ihre Kinder zugreifen; zwar sollten Daten zum Schutz der Privatsphäre auf dem Endgerät bleiben. Trotzdem könne es den Expert*innen zufolge als Ergänzung eine „verpflichtende“ Alterskontrolle geben, und zwar „durch Altersschätzung per Kamera oder Verifikation mit offiziellen Dokumenten“. Das wirft mindestens zwei Probleme auf.
Erstens: Diskriminierung. Altersschätzung per Kamera benachteiligt strukturell Menschen, deren Gesicht eine Software nicht korrekt einschätzen kann. Denkbare Gründe sind etwa sichtbare Verletzungen oder Behinderungen. Auch offizielle Dokumente sind eine Hürde, die vulnerable gesellschaftliche Gruppen weiter benachteiligen kann. Allein in Deutschland gibt es Schätzungen zufolge Hunderttausende Menschen ohne Aufenthaltstitel. Viele von ihnen dürften keine Papiere haben, die mit einer Alterskontroll-App kompatibel wären. Wie ist das mit dem Anspruch auf „Schutz vor Diskriminierung“ vereinbar?
Deine Daten landen bei der Polizei.
Wir decken es auf. Mit deiner Unterstützung.
Insbesondere für junge Menschen ist Altersschätzung schlecht geeignet. Wenn ein Mensch nicht sicher sagen kann, ob ein Teenager wie 16 oder wie 17 Jahre aussieht, dann kann das auch keine Software. In Deutschland hat die Kommission für Jugendmedienschutz deshalb mal einen Puffer festgelegt: „Personen müssen von dem System als mindestens 23 erkannt werden, um Zugang zu den ab 18 Jahren bewerteten Inhalten zu bekommen.“ Die Expert*innen-Kommission empfiehlt jedoch abgestufte Jugendschutz-Funktionen, je nachdem, ob jemand etwa 13, 16 oder 18 Jahre alt ist. Für diese feinen Altersstufen ist Software zur Alterseinschätzung zu grob.
Zweitens: Machtkonzentration. Ohne die mächtigen US-Konzerne Apple und Google scheint es derzeit nicht zu laufen. In der EU entstehen gerade zwei Lösungen, die das Alter datensparsam anhand offizieller Dokumente prüfen sollen, und beide sind von deren mobilen Betriebssystemen abhängig.
Zum einen ist da der im April vorgelegte Prototyp einer „Mini-Wallet“ für iOS und Google-basiertes Android. Der ist bei Fachleuten bereits durchgefallen. Unter anderem der Ethikrat und die Expert*innen des Familienministeriums lehnen die Mini-Wallet ab. Zum anderen ist da die geplante digitale Brieftasche, „EUDI-Wallet“. Die deutsche Version dieser Wallet wird zunächst auch nur für iOS und Google-basiertes Android entwickelt. Wie ist das mit dem Anspruch vereinbar, keine Macht bei großen Plattform- und Betriebssystemanbietern zu konzentrieren?
EUDI-Wallet: Alles auf eine Karte
Ausdrücklich empfehlen die Expert*innen die EUDI-Wallet als Methode der Alterskontrolle für „erhöhte rechtliche Anforderungen“ sowie für eine feste Altersgrenze nach australischem Vorbild. Hier zeigen sich zwei weitere Probleme.
Erstens: Ein empfindlicher Vorbehalt. Die Expert*innen knüpfen ihre Empfehlung der EUDI-Wallet an bestimmte Anforderungen. Das ihr zugrunde liegende Gesetz, die eIDAS‑2.0‑Verordnung, soll demnach „vollständig erfüllt“ sein. Genau das droht gerade zu scheitern. In der Umsetzung höhlt die EU-Kommission die Schutzrechte der digitalen Brieftasche aus. Einbußen in Datenschutz und Privatsphäre zeichnen sich ab. Wenn die EUDI-Wallet ihre eigenen Ansprüche nicht erfüllt, womit sollen Menschen dann ihr Alter nachweisen?
Zweitens: Keine Alternative. Selbst wenn doch alles klappt mit der EUDI-Wallet, ihre Nutzung muss „freiwillig“ sein. Wer sie nicht haben will, darf nicht eingeschränkt oder benachteiligt werden. Auch das steht in der eIDAS-Verordnung. Bloß, welche Methode der Alterskontrolle käme anstelle der EUDI-Wallet in Frage? Die Expert*innen nennen keine konkrete Lösung. Stattdessen betonen sie, was sie nicht wollen: keine Mini-Wallet, kein Vorzeigen von Pass und Gesicht vor der Kamera.
Was bei den Ausführungen der Expert*innen völlig unter den Tisch fällt: Alterskontrollen lassen sich mühelos umgehen, etwa mit VPN-Diensten. Genau das passiert gerade in Australien. An dieser Stelle kippt das Vorhaben ins Absurde. Wovor sollen die Kontrollen schützen, wenn junge Menschen auf der Suche nach Verbotenem einfach einen kleinen Umweg machen?
Wann sollen Alterskontrollen Grundrechte einschränken?
Das Ergebnis ist ernüchternd. Keine Methode der Alterskontrolle kann den von den Expert*innen selbst ins Feld geführten Ansprüchen voll gerecht werden. Es fehlt eine fundierte Abwägung: Unter welchen Umständen sollen Alterskontrollen Grundrechte einschränken? Sollte die Gesellschaft ein Stück weit Diskriminerung und Machtkonzentration in Kauf nehmen – und warum?
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Diese undankbare Diskussion vermeiden die Fachleute. Stattdessen servieren sie ein unschlüssiges Nebeneinander von Empfehlungen und Warnungen.
Für die internationale Debatte um Alterskontrollen im Netz ist das leider symptomatisch. Ähnlich argumentieren auch die EU-Kommission und die G7-Staaten, CDU, SPD und Grüne: Wieder und wieder empfehlen Befürworter*innen von Alterskontrollen Methoden, die den selbst gesteckten Ansprüchen nicht genügen. Das Ergebnis kann nur enttäuschen.
Internationale Warnungen verhallen
Alterskontrollen sind nur eine von insgesamt 56 Empfehlungen der deutschen Expert*innen-Kommission. Es geht unter anderem auch um Aufklärung, Prävention und Bildung, um die Rolle von Eltern, Schulen und Jugendhilfe. Keine dieser Empfehlungen birgt allerdings so weitreichende Gefahren wie Alterskontrollen. Der deutsche Ethikrat schreibt:
Die Technologien sind Instrumente zur Unterscheidung und unterschiedlichen Behandlung von Nutzergruppen. Als solche können sie auch zweckentfremdet werden, und zwar sowohl zur Beschränkung des Zugangs für weitere Gruppen als auch des Zugangs zu anderen Inhalten, zum Beispiel zu Materialien zur sexuellen Aufklärung oder gar zu solchen, die politisch unerwünscht sind. Aufgrund dieser breiten Einsatzmöglichkeiten kann nicht ausgeschlossen werden, dass die Altersbestimmungstechnologien als Zensurinstrument missbraucht werden.
Mehr als 400 internationale Forscher*innen aus IT-Sicherheit und Datenschutz warnten in einem offenen Brief vom März 2026: Die Einführung von Alterskontrollen ohne weitere Forschung sei „gefährlich und gesellschaftlich nicht hinnehmbar“. Es fehle ein klares Verständnis dafür, was diese Kontrollen anrichten können, für „Sicherheit, Privatsphäre, Gleichberechtigung“ und die „Autonomie“ aller Menschen.
Eine drittes Paket an Empfehlungen kommt noch
Derzeit erarbeitet noch ein weiteres – also ein drittes – Gremium Vorschläge zum Schutz junger Menschen im Netz, und zwar auf EU-Ebene. Teils gibt es bei den Gremien personelle Überschneidungen: Judith Simon ist Professorin an der Universität Hamburg zur Ethik in der Informationstechnologie. Sie ist Mitglied im Ethikrat und im deutschen Gremium und war zu Gast im EU-Gremium.
In einer Doppelrolle unterwegs ist der Co-Vorsitzende des EU-Gremiums, Jörg Fegert, Professor an der Uniklinik Ulm für Kinder- und Jugendpsychiatrie, Psychosomatik und Psychotherapie. Er war auch Teil des deutschen Gremiums.
Am 13. Juli soll das EU-Gremium seine Ergebnisse EU-Kommissionspräsidentin Ursula von der Leyen (CDU) vorlegen. Es könnte das netzpolitisch einflussreichste der drei Pakete werden, denn Plattformregulierung wird vor allem auf EU-Ebene verhandelt. Auch Familienministerin Karin Prien (CDU) sagte mit Blick auf die deutschen Fachleute: „Ich setze mich dafür ein, dass uns eine europäische Lösung gelingt.“
Gelingen kann aber nichts, solange sich die Politik und ihre Berater*innen um unangenehme Fragen drücken: Welche Nachteile wollen wir als Gesellschaft wirklich in Kauf nehmen – mit oder ohne Alterskontrollen?
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
