Angreifer können an mehreren Sicherheitslücken in Avira Antivirus ansetzen und im schlimmsten Fall Schadcode ausführen, um das System vollständig zu kompromittieren. Überdies ist Avira Password Manager unter bestimmen Bedingungen verwundbar.

Mehrere Softwareschwachstellen

In der US-amerikanischen National Vulnerability Database vom National Institute of Standards and Technology (NIST) sind vier Sicherheitslücken in Antivirus (CVE-2026-6676 „hoch“, CVE-2025-9033 „hoch“, CVE-2025-9032 „hoch“, CVE-2025-14098 „hoch“) und eine in Password Manager (CVE-2026-12068 „hoch“) aufgelistet. Im Sicherheitsbereich der Website von Gen Digital, zu der Avira gehört, tauchen die Sicherheitslücken bislang nicht auf. Von den Lücken sind die Linux-, macOS- und Windows-Version betroffen.

Bei Antivirus können Angreifer in allen vier Fällen mit präparierten Dateien an den Lücken ansetzen. Werden manipulierte OSIX-Tar-Archive, PDF-, Windows-PE- oder ausführbare MS-DOS-Dateien verarbeitet, kommt es zu Speicherfehlern (out-of-bounds). So etwas sorgt in der Regel für Abstürze. Oft gelangt in so einem Kontext aber auch Schadcode auf Systeme.

Lücken geschlossen

Aus den CVE-Beiträgen geht hervor, dass die Schwachstellen offensichtlich die Scan-Engine betreffen und nicht den Client. Als früheste vollständig gepatchte Scan-Engine-Version nennen die CVE-Einträge 8.3.70.104. Wer Antivirus nutzt, sollte sicherstellen, dass mindestens diese Ausgabe installiert ist.

Es ist derzeit unklar, wann die reparierte Ausgabe erschienen ist. In der Regel genehmigen sich jedoch die AV-Hersteller unter der Gen-Digital-Führung um die drei Monate Zeit, bis sie geschlossene Sicherheitslücken benennen.

Password Manager ist nur in Kombination mit Firefox angreifbar. Ist das gegeben, können Angreifer auf einem nicht näher ausgeführten Weg im Kontext von Autofill-Feldern Zugangsdaten abgreifen. An dieser Stelle nennt der CVE-Eintrag keine dagegen gerüstete Versionsnummer.

(des)

Für das weitverbreitete Download-Tool curl sollen im Sommer für mehr als einen Monat keine Berichte zu Sicherheitslücken angenommen oder bearbeitet werden. Das hat der Maintainer Daniel Stenberg in einem Blogeintrag publik gemacht und nennt das „curls Sommer voller Glückseligkeit“. Der soll demnach vom 1. Juli (0 Uhr MESZ) bis zum 3. August (9 Uhr MESZ) gelten und nicht nur für das Bug-Bounty-Programm auf HackerOne gelten, sondern auch die projekteigene E-Mail-Adresse – über die aber sowieso keine Reports akzeptiert würden: „Jedes Problem, das ihr dem curl-Projekt in diesem Monat melden wollt, muss warten“, schreibt Stenberg. Er und die Betreuer wollen in der Zeit „tief durchatmen und den Sommer genießen“. Vielleicht werde man öfter draußen spazieren gehen oder andere Orte erkunden.

Mit dem Schritt ziehen Stenberg und sein Team Konsequenzen aus der enorm gestiegenen Arbeitslast, für die KI-Werkzeuge verantwortlich sind. Die sorgen seit einer Weile für einen drastischen Anstieg bei der Zahl der gemeldeten Sicherheitslücken. Auch wenn viel davon KI-generiert ist, handelt es sich nicht um offensichtlichen Unsinn, die Reports sind detailliert und ausführlich. Stenberg muss inzwischen vier- bis fünfmal so viele Sicherheitsmeldungen prüfen wie noch 2024 und dabei geht mit jeder einzelnen ein enormer Aufwand daher. Den nicht tragbaren Zustand hat er in diesem Jahr schon mehrfach öffentlich beklagt, eine Lösung ist aber nicht in Sicht. Mit „curls Sommer voller Glückseligkeit“ zieht er jetzt die Reißleine und sorgt dafür, dass er und die Betreuer endlich die nötige Erholung bekommen.

Zu wenige Geldgeber

In seinem Blogeintrag versichert Stenberg aber, dass Kundschaft mit einem kostenpflichtigen Supportvertrag auch im Juli betreut werde. Damit verweist er auf einen weiteren Kritikpunkt, denn obwohl curl oder libcurl von Unternehmen in dutzenden Milliarden Geräten eingesetzt wird, ist die Zahl der Geldgeber extrem überschaubar. Erst im Mai hat der Entwickler erklärt, dass er sich mehr finanzielle Unterstützung wünschen würde, diesbezüglich aber pessimistisch sei. Dem „Tsunami“ an Bug-Reports steht man bei curl deshalb weitestgehend alleine gegenüber. Ähnliche Klagen gab es zuletzt auch von vergleichbaren Projekten, deren Ressourcen ihrer Bedeutung für die globale IT-Infrastruktur nicht einmal ansatzweise entsprechen.

Die Ankündigung, dass curl nur noch zwei Wochen lang Sicherheitsmeldungen annehmen und bearbeiten will, erfolgt jetzt kurz nach einer drastischen Entscheidung von Anthropic. Das KI-Unternehmen, dessen besonders leistungsfähiges KI-Modell Mythos einen erheblichen Anteil an der stark gewachsenen Zahl gefundener Sicherheitslücken haben soll, hat den Zugriff darauf am Wochenende deutlich eingeschränkt. Die Hintergründe sind bislang nicht ganz klar. Ob die Zahl von Bug-Reports dadurch erst einmal wieder sinkt, ist unklar. Bei curl selbst soll das KI-Modell sowieso nur eine einzige Lücke gefunden haben, hat Stenberg vor einem Monat publik gemacht.

(mho)

Plopp, Plopp, Plopp, platzen die Regenschirme auf. Sie sind auf einen rechtsradikalen Youtuber gerichtet. Dessen Handykamera zeigt nun nicht mehr auf eine überwachungskritische Demonstration, sondern auf eine Wand aus schwarzem Textil.

Hinter den Schirmen stehen junge Menschen, teils erst 15 Jahre alt, mit Schlauchschals, Kapuzen, Sonnenbrillen vermummt. Sie skandieren: „Ich bin nichts, ich kann nichts, gebt mir einen Selfie-Stick.“ Sie wollen die Live-Übertragung des Nazi-Streamers stören. Und gleichzeitig noch viel mehr, nämlich: die Überwachungspläne der Bundesregierung aufhalten.

Gerade drängt die schwarz-rote Regierung ein Überwachungs-Gesetzes-Paket durch den Bundestag. Deutschland soll mit KI überwacht werden, die Menschen biometrisch identifiziert und kriminalistische Analysen, ja gar Listen von Verdächtigen erstellt. Ähnliche Befugnisse bekommen gerade auch viele Landespolizeien, dazu Videoüberwachung, die automatisch prüft, ob sich alle verhalten wie erwünscht. Es droht eine Megadatenbank mit Aufnahmen aus dem öffentlichen Raum, Standort- und Kommunikationsdaten, mindestens fallweise ist auch die Einbeziehung von Gesundheits- und Finanzinformationen möglich.

Die vermummten Nazi-Stream-Blockierer sind Teil einer Anti-Überwachungs-Demonstration, die sich am vergangenen Samstag gegen die neuen Befugnisse positionierte. Deutlich über 1.000 Menschen ergab eine grobe Zählung am Startpunkt in Berlin-Friedrichshain. Gleichzeitig lief eine Demo durch Kiel. 600 Menschen protestierten dort nach Angabe der Veranstalter*innen, 400 nach Schätzung der Polizei.

Nächstes Wochenende folgen Demonstrationen in Hamburg und Leipzig. In Sachsen, Thüringen und Niedersachsen richten Aktivisti Informationsveranstaltungen zu den jeweiligen Polizeigesetz-Verschärfungen aus.

Die Kämpfe aus den Bundesländern zusammenführen

Es ist eine bundesweite Bewegung, die hier gerade zueinanderfindet, eine Welle von Widerstand. Und die Demo in Berlin ist auch eine Art Vernetzungstreffen. Jonas Grill von der NGO Digitalcourage ist aus Bielefeld in Nordrhein-Westfalen angereist. Dort wird bereits Palantir-Software genutzt. „Es geht hier auch darum, die Kämpfe aus den Bundesländern zusammenzuführen“, sagt Grill.

Die Veranstalter*innen haben Pappkameras am Stiel ausgeteilt. Menschen halten sich aus Spaß die Attrappen ins Gesicht, lassen einander erahnen, wie das ist, im Fokus von Überwachungstechnologie zu sein. Unter den Show-Kameras formiert sich der schwarze Block, vermummte Gesichter verschanzen sich hinter Transparenten. Ein Mensch hält einen Stab in die Höhe, drei echte Überwachungskameras sind daran befestigt, wie Trophäen einer Jagd.

Es geht los. Fahnen flattern, Blaulicht flackert, Bass wummert, Menschen skandieren, „Palantir, nicht mit mir!“, oder „Regierungsspanner raus aus den Kiezen! Tech-Milliardäre raus aus den Kiezen! Überwachung aller Eliten!“ zum Beispiel. „Antibiometrische Aktion“ steht auf einem Schild. In der Vielfalt der Demonstrierenden – darunter Kinder und Rentner*innen – ist der schwarze Block letztlich nur ein Farbklecks von vielen. Lächelnde Menschen tanzen im Sonnenschein über die Warschauer Brücke in Berlin.

Einhorn traurig

„Vorratsdatenspeicherung macht das Einhorn traurig“, steht auf Linas Schild, daneben ist ein Bild eines traurigen Einhorns gemalt. Lina, die eine Schirmmütze mit der Aufschrift „privacy is normal“ trägt, ist Aktivistin beim Kleindatenverein. Sie wohnt zwischen Görlitzer Park und Kottbusser Tor, ihre alltäglichen Wege führen sie durch Zonen, die künftig mit KI-Kameras überwacht werden sollen. Sie fürchtet, dass die KI-Überwachung nicht mehr zu verhindern ist. „Aber wir können sie mitgestalten und die Spitzen rausnehmen“, glaubt sie.

Lina ist Privatsphärenfan, bei Demos wie dieser setzt sie ihr Telefon in den Flugmodus – damit Provider und Polizei nicht ihren Standort bekommen. Mit Hilfe der geplanten Gesichtersuchmaschine könnte sie jedoch auf Fotos der Demonstration verortet werden. Das ist unschön, aber kein Grund zu Schwänzen. „Wenn ich deshalb nicht komme, erreichen die ja, was sie wollen“, sagt Lina.

Sinje und Lukas sind in Brandenburg bei der Linksjugend Solid engagiert. Sie sind hier, weil es ihnen Sorgen macht, dass die KI-Überwachungstechnologie in Zukunft gegen marginalisierte Menschen eingesetzt werden könnte und dass nicht nur die CDU, sondern auch SPD und Grüne bei der Ausweitung der Polizei-Gesetze mitmachen. „Wir brauchen gar keinen Rechtsruck mehr“, sagt Sinje.

Ückück von den Datenpunks ist aus Dresden angereist und blickt auf die Demonstration, die gerade fast die gesamte Brücke einnimmt. „Das tut richtig gut zu sehen“, sagt sie.

Wenige hundert Meter nach dem Start: Die Demo führt ganz nah einem singulären Riesenhochhaus vorbei, einem schwarzen Block, wuchtiges Design. Es ist das Deutschland-Hauptquartier von Amazon. Der Konzern ist auch für seine Überwachungspraktiken weltbekannt. Ein Mensch wirft aus der Demonstration heraus einen Farbbeutel auf das Gebäude. „Man muss die staatliche mit der kapitalistischen Überwachung zusammendenken“, sagt einer der Vermummten.

„Viel mächtiger als alles, wovor man sich früher sorgte“

Überwachungsgesetze und Kontrollprojekte sorgen in Deutschland inzwischen beinah traditionell für einigen Wirbel. Das zeigten erstmals die Proteste zur 1983 geplante Volkszählung. In den 2000er- und 2010er-Jahren brachte die Kampagne „Freiheit statt Angst“ immer wieder zehntausende Menschen auf die Straße. 2018/19 gab es Proteste in ähnlicher Größenordnung gegen Polizeigesetz-Verschärfungen.

Lukas Theune ist Geschäftsführer des Republikanischen Anwältinnen- und Anwältevereins (RAV), einer der Organisationen, die zu der Demo aufgerufen haben. Er sagt: „Es gab immer wieder Proteste gegen die Aufrüstung der Sicherheitsgesellschaft. In dieser Tradition stehen wir sicherlich, aber was jetzt eingeführt wird, ist noch viel mächtiger als alles, wovor man sich früher sorgte. Jetzt ist es wichtig, dass die große Mehrheit, die diese Maßnahmen nicht will, vernehmbar wird und Widerstand leistet.“

Es ginge gerade um eine grundlegende Veränderung der Sicherheitsarchitektur und der Art und Weise, wie wir als Gesellschaft leben können. Theune fürchtet, „dass wir zu einer gläsernen Gesellschaft werden, dass der Staat alles, was wir machen, weiß, dass er uns total überwacht“.

Die Demo führt auf einen kritischen Punkt zu: Zwei Kuppelkameras in der Unterführung unter der neu eingerichteten Polizeiwache am Kottbusser Tor. Die ist sowieso Hassobjekt der Linken in Berlin. Und die Kameras dort filmen anscheinend ohne Rechtsgrundlage öffentlichen Raum. An ihnen könnte sich die Wut über die zunehmende Überwachung entladen. Die Polizei verspricht laut Veranstalter*innen, dass die Kameras hochgedreht und abgedeckt sein werden, wenn die Demo passiert. Dann ändert sie ihre Meinung, teilt eine Änderung der Route mit. Nun soll es doch nicht wie geplant unter den Kameras hindurchgehen.

Polizistinnen rennen, um sich zwischen Demo und Wache zu positionieren. Die Demo führt nun einmal um den Kreisverkehr und den gleichen Weg ein Stück zurück, um über einen Schlenker zum Zielort zu kommen. Der Nazi-Streamer hält bis zum Schluss durch – und wird bis zum Schluss mit Regenschirmen abgeblockt. Dann wird die Demo aufgelöst. Sie war womöglich nur so etwas wie der Auftakt des Widerstandes. Die nächsten Demos in Hamburg und Leipzig sind ja schon gesetzt.