Großbritannien will verhindern, dass Minderjährige auf ihren Smartphones und Tablets Nacktbilder aufnehmen, speichern, teilen oder ansehen können. Premierminister Keir Starmer stellte die Pläne diese Woche auf der London Tech Week vor und gab Betriebssystemanbietern wie Apple und Google ein Ultimatum von drei Monaten, um entsprechende Schutzmechanismen geräteübergreifend zu aktivieren. Datenschützer sind alarmiert – sowohl wegen der Umgehung von Ende-zu-Ende-Verschlüsselungen, die das bedeuten könnte, als auch weil für eine Altersverifikation in der Regel eine ID und damit Klarnamen notwendig sind.

Wie die britische Regierung in ihrer Ankündigung erläutert, sollen die Unternehmen „eingebaute Funktionen oder technische Lösungen“ bereitstellen, die Nacktinhalte auf Kindergeräten systemweit erkennen und blockieren – in Kamera-App und Galerie, aber auch in Apps von Drittanbietern wie Messengern und Browsern. Erwachsene sollen nach einer Altersverifikation weiterhin uneingeschränkten Zugang haben. Falls die Konzerne nicht freiwillig handeln, droht die Regierung mit einer entsprechenden Gesetzgebung, die sie zwingen soll.

On-Device-KI statt Cloudscan

Konkrete technische Vorgaben macht die Regierung bewusst nicht, verlangt aber, dass die Maßnahmen „ohne Gefährdung der Privatsphäre oder Erhebung von Daten“ funktionieren müssen. Das schränkt die Möglichkeiten sehr ein. Ein On-Device-Machine-Learning wäre möglich: Lokal auf dem Gerät eingebettete KI-Modelle analysieren Bilddaten im Arbeitsspeicher, klassifizieren Inhalte anhand von Pixelmustern, Hautanteilen und Körperposen und liefern dem Betriebssystem lediglich eine Entscheidung – blockieren oder durchlassen. Weder Rohbilder noch Feature-Vektoren müssten dabei das Gerät verlassen.

Technisch würde eine solche geräteweite Nackterkennung vor der Ende-zu-Ende-Verschlüsselung greifen. Die Integrität von E2E bliebe damit formal unangetastet. Doch Kritiker warnen, dass einmal etablierte On-Device-Scanning-Infrastrukturen politisch leicht auf weitere Inhaltskategorien ausgeweitet werden könnten – etwa auf „Extremismus“, Urheberrechtsverletzungen oder politische Inhalte. Dieselben Modelle ließen sich theoretisch auch in Ende-zu-Ende-verschlüsselten Apps einsetzen, bevor Nachrichten verschlüsselt werden.

Reaktionen und internationaler Kontext

Der britische Vorstoß reiht sich in eine internationale Entwicklung ein: Erst Ende Mai hatten sich die G7-Digitalminister in Paris auf sieben Kernprinzipien für besseren Jugendschutz im Netz geeinigt und einen „Safety by Design“-Ansatz gefordert, bei dem Dienste von vornherein so gestaltet werden, dass sie Minderjährige schützen. Auch in der EU schwelt die Debatte um Client-Side-Scanning seit den umstrittenen Vorschlägen zur sogenannten Chatkontrolle weiter. Dort haben Bürgerrechtsorganisationen, Datenschutzaufsichtsbehörden und Kryptografen wiederholt vor einem faktischen Verbot sicherer Ende-zu-Ende-Verschlüsselung gewarnt – eine Diskussion, die mit den britischen Plänen neue Nahrung bekommt.

(rie)

Am Patchday im Juni stuft Microsoft zahlreiche Sicherheitslücken in etwa Azure, M365, Exchange Online, Office und Windows als „kritisch“ ein. In vielen Fällen können Angreifer aus der Ferne ohne Authentifizierung Schadcode ausführen und Systeme vollständig kompromittieren.

Ein Zero Day nach dem anderen

Unter den nun geschlossenen Schwachstellen finden sich auch die BitLocker-Zero-Day-Lücken YellowKey (CVE-2026-45585 „mittel“) und GreenPlasma (CVE-2026-50507 „mittel“), die ein Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse offengelegt hat. Nutzen Angreifer diese Lücken erfolgreich aus, können sie die BitLocker-Festplattenverschlüsselung umgehen.

Der Forscher hat aber noch mehr Zero Days in petto und legte direkt nach dem Patchday die RoguePlanet getaufte Schwachstelle in seinem Blog offen. Diese Lücke bedrohe Windows 10 und 11 im voll gepatchten Zustand. Ansatzpunkt ist erneut die Schutzsoftware Defender. Nach einer erfolgreichen Attacke sollen Angreifer mit Systemrechten dastehen.

Microsoft reagierte zügig auf die neue Bedrohung: Mit dem am Morgen des 10. Juni erschienenen Definitionsupdate 1.453.20.0 für Defender rüstet der Konzern eine Erkennung für RoguePlanet nach und verschiebt den Exploit in die Quarantäne. Die Erkennung ist unseren Experimenten zufolge jedoch allenfalls rudimentär: Mit einer trivialen Änderung im Quelltext des Proof-of-Concept-Exploits lässt sie sich in kürzester Zeit umgehen und erneut eine Shell mit Systemrechten ausführen.

Bislang gibt es keine Hinweise darauf, dass Angreifer die Schwachstelle bereits ausnutzen. Der anonyme Sicherheitsforscher hat eigenen Angaben zufolge noch weitere Zero Days in petto, die er eigentlich am 14. Juli veröffentlichen wollte. Weil er mit RoguePlanet zu viel zu tun hatte, verschiebt sich das jetzt aber. Einen konkreten Zeitraum nennt er derzeit nicht.

Weitere Gefahren

Offensichtlich war ein Fix für die bereits attackierte RedSun-Lücke (CVE-2026-41091 „hoch“) in der Malware Protection Engine von Defender nicht ausreichend, sodass Microsoft Ende Mai noch einmal eine Aktualisierung nachgelegt hat. In den Standardeinstellungen aktualisiert sich Defender automatisch. Die Korrektur listet Microsoft nun als zum Juni-Patchday gehörend auf.

Drei Schwachstellen in Windows (CVE-2026-49160 „hoch“, CVE-2026-50507 „mittel“, CVE-2026-45586 „hoch“) in HTTP.sys, BitLocker und Collaborative Translation Framework sind öffentlich bekannt und es können Attacken bevorstehen.

Drei „kritische“ Lücken bedrohen den Windows Kernel (CVE-2026-45657), Windows HTTP.sys (CVE-2026-47291) und Windows DHCP Client Service (CVE-2026-44815). An diesen Stellen können Angreifer Schadcode ausführen und Computer vollständig kompromittieren.

Weiterführende Informationen zu den an diesem Patchday geschlossenen Sicherheitslücken finden sich in Microsofts Security Update Guide.

(des)

Fortinet hat drei Sicherheitsmitteilungen am zweiten Dienstag des Monats veröffentlicht, gemeinhin bei anderen Anbietern als „Patchday“ benannt. Eine betrifft eine kritische Sicherheitslücke in FortiSandbox, die beiden anderen weniger schwerwiegende Schwachstellen in FortiPortal und FortiOS respektive FortiProxy.

In FortiSandbox können nicht authentifizierte Angreifer eine Schwachstelle missbrauchen, um unbefugt Befehle mit speziell präparierten HTTP-Anfragen einzuschleusen, die aufgrund unzureichender Filterung an das Betriebssystem durchgereicht und dort ausgeführt werden (CVE-2026-25089, CVSS 9.1, Risiko „kritisch“). Für die betroffenen Zweige stehen Aktualisierungen bereit: FortiSandbox 5.0.6 und 4.4.9, FortiSandbox Cloud 5.0.6 und FortiSandbox PaaS 5.0.6 stopfen das Leck.

Mittelschwere Sicherheitslecks

Angreifer aus dem Netz mit Nutzerzugang können aufgrund mangelhafter Zugriffskontrollen in FortiPortal API-Endpunkten mittels manipulierter HTTP-Anfragen sensible Netzwerkinformationen abgreifen (CVE-2026-49938, CVSS 6.2, Risiko „mittel“). FortiPortal 7.4.8 sowie 7.2.9 oder neuere Versionen schließen das Sicherheitsleck. Wer noch FortiPortal 7.0 einsetzt, muss auf diese Versionen migrieren. In FortiOS und FortiProxy können angemeldete Admins Lua-Skripte mit manipulierten Kommandozeilen-Befehlen ausführen, da darin offenbar eine Debug-Schnittstelle offen steht und unbefugten Zugriff auf interne Strukturen erlaubt (CWE-1244; CVE-2025-67862, CVSS 6.0, Risiko „mittel“). FortiOS 7.6.3, 7.4.8 und 7.2.11 sowie FortiProxy 7.6.4, 7.4.11 und 7.2.15 oder neuer korrigieren den sicherheitsrelevanten Fehler.

Insbesondere die als kritisch eingestufte Sicherheitslücke in FortiSandbox sollten IT-Verantwortliche umgehend angehen und die bereitstehenden Aktualisierungen so schnell wie möglich installieren. Im Mai hat Fortinet sich um deutlich mehr​ Schwachstellen gekümmert. Dort haben die Entwickler gleich elf Sicherheitslücken ausgebessert, die in diversen Produkten des Anbieters gefunden wurden.

(dmk)