Microsoft hat ein Update außer der Reihe für Windows-11-Clients insbesondere in Enterprise-Umgebungen herausgegeben. Es ist für Maschinen gedacht, die Hotpatching aktiviert haben.

Im Message-Center der Windows-Release-Health-Notizen erklärt Microsoft, dass das Update Sicherheitslücken im Management-Tool des Routing-and-Remote-Access-Services (RRAS) korrigiert, das Angreifern bei Verbindungen verwundbarer Clients auf bösartige Server das Einschmuggeln und Ausführen von Schadcode ermöglicht. Es handelt sich um eine Sammlung aus drei Schwachstellen (CVE-2026-25172, CVE-2026-25173 und CVE-2026-26111). Der Hotpatch KB5084597 vom Freitag dieser Woche hievt die Windows-Builds auf die Nummern 26200.7982 respektive 26100.7982, es betrifft also Windows 11 25H2 und 24H2.

Die Aktualisierung außer der Reihe ist lediglich für Windows-11-Geräte nötig, die Hotpatching aktiviert haben und für die Fernverwaltung von Servern eingesetzt werden, führt Microsoft weiter aus. Übliche Desktop-Clients bedürfen daher keiner weiteren Aktion.

Ungeplanter Hotfix enthält Korrekturen aus dem März

Der Hotfix außer der Reihe ist kumulativ und umfasst auch die Fehlerkorrekturen, die Microsoft in den Windows-Updates zum März-Patchday in dieser Woche veröffentlicht hat. Microsoft betont, dass das Update automatisch auf Windows-11-Geräte der Versionen 25H2 und 24H2 verteilt wird, die Hotpatches aktiviert haben und mit Windows Autopatch verwaltet werden. Da Microsoft Hotpatches für Windows 11 mit Windows Autopatch seit Mitte vergangenen Jahres als Standardkonfiguration vorsieht, dürften einige Maschinen davon betroffen sein. Die Aktualisierungen werden durch das Hotpatching auch ohne Neustart wirksam. Wer weder Hotpatches einsetzt noch das RRAS-Verwaltungstool, muss nichts unternehmen, führen die Entwickler weiter aus.

In den drei CVE-Einträgen erklärt Microsoft, dass die Hotpatches erneut veröffentlicht wurden, um die vollständige Abdeckung aller betroffenen Szenarien sicherzustellen. Kunden rät Microsoft dort, die aktualisierten Updates anzuwenden, um den vollen Schutz sicherzustellen.

(dmk)

Google hat in der Nacht zum Samstag erneut ein Notfall-Update für den Webbrowser Chrome herausgegeben. Es bessert eine im Netz bereits attackierte Sicherheitslücke aus, die das Update vom Vortag offenbar nicht oder nicht korrekt geschlossen hat.

Bereits am Freitag dieser Woche hatte Google angekündigt, dass das außerplanmäßige Update zwei in freier Wildbahn attackierte Sicherheitslücken stopft. Jetzt haben die Entwickler jedoch eine weitere Aktualisierung außer der Reihe eingeschoben, die eine der vermeintlich bereits geschlossenen Sicherheitslücken (abermals) korrigiert. Es handelt sich dabei um die Schwachstelle in der Grafikbibliothek Skia. Durch das Verarbeiten und Rendern sorgsam präparierter Webseiten können Angreifer auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen und so fälschlicherweise Speicherinhalte schreiben (CVE-2026-3909, kein CVSS-Wert, Risiko laut Google „hoch“). Das ermöglicht oftmals, Schadcode einzuschleusen und auszuführen.

Google hat die ursprüngliche Versionsankündigung aus der Nacht zum Freitag inzwischen aktualisiert. Demnach listete die vorherige Version der Notiz die Schwachstelle CVE-2026-3909 auf, deren Korrektur jedoch erst in einem künftigen Update enthalten sein wird, führen die Entwickler dort nun aus. Zu den Gründen nennen sie keine weiteren Details. Auch zu den bereits laufenden Angriffen auf die Schwachstellen gibt es keine weitergehenden Informationen.

Aktualisierte Versionen jetzt installieren

Chrome-Nutzer und -Nutzerinnen sollten sicherstellen, dass sie die aktuelle Fassung des Webbrowsers einsetzen. Chrome 146.0.7680.119 für Android sowie 146.0.7680.80 für Linux, macOS und Windows stopfen nun auch das zweite attackierte Sicherheitsleck.

Der Versionsdialog findet die Updates und startet auch gleich deren Installation. Der öffnet sich nach Klick auf das Icon mit den drei übereinanderliegenden Punkten rechts von der Adressleiste und dem weiteren Klickpfad „Hilfe“ – „Über Google Chrome“. Unter Linux ist in der Regel die Softwareverwaltung der Distribution dafür zuständig. Der Play-Store von Google sollte das Update ebenfalls anbieten, auf zahlreichen Handy-Modellen kommen die Chrome-Updates jedoch mit deutlicher Verzögerung an; die Aktualisierung lässt sich dort auch nicht erzwingen.

Da andere auf dem Chromium-Code basierende Webbrowser wie Microsoft Edge die Schwachstelle mit hoher Wahrscheinlichkeit ebenfalls aufweisen, sollten Nutzerinnen und Nutzer dieser Alternativen ebenfalls prüfen, ob dafür Aktualisierungen verfügbar sind, und diese zeitnah anwenden.

(dmk)

Liebe Leser*innen,

seit 2019 begleite ich für netzpolitik.org die Pläne für die Verordnung der EU zu sogenannter „Künstlicher Intelligenz“. Es ist das erste europäische Gesetz, bei dessen Entstehung ich von Anfang an mit dabei war. Wie bei einem Gebäude, für das man schon die ersten Ideen und Entwürfe am Reißbrett mitverfolgt hat. Dann jeden Tag an der Baustelle vorgefahren ist, erst beim Aushub und dann Stockwerk um Stockwerk zuschaute, wie es nach oben wächst.

2024 waren die Pläne fertig verhandelt. Doch im Nachhinein muss ich sagen: Wenn die KI-Verordnung ein Gebäude ist, dann kommt mir das Ergebnis zunehmend vor wie Pfusch am Bau.

Ich fühle mich verschaukelt von diesem Gesetz, das doch eigentlich zumindest in Teilen den Zweck haben soll, die Grundrechte der Menschen in der EU zu schützen. Dafür zu sorgen, dass sie nicht zu Unrecht im Gefängnis landen, von Sozialleistungen ausgeschlossen werden, an den EU-Grenzen von Maschinen schikaniert oder bei jedem Schritt im öffentlichen Raum verfolgt werden können – weil ein „KI-System“ das nun einmal möglich macht.

Auf die vielen Schwachstellen im fertig verhandelten Bauplan hatten wir damals schon hingewiesen. Artikel 5 der Verordnung regelt all die grundrechtsrelevanten Schweinereien, die mit “KI” technisch möglich, in der Union aber tabu sind. Darunter etwa Systeme, die Gefühle erkennen sollen oder Vorhersagen dazu treffen, ob jemand wohl kriminell wird. (Minority Report lässt grüßen.)

Verboten sind in der EU demnach auch Systeme, mit denen man im Internet gezielt nach einem Gesicht suchen kann und dann weitere Treffer zu der Person angezeigt bekommt. Man kennt das von umstrittenen Suchmaschinen wie PimEyes oder Clearview. Denn Menschen aus dem Team Bürgerrechte sind sich schon lange einig: Solche Systeme stellen eine besonders große Gefahr für unsere Gesellschaft dar. Diese kommerziellen Anbieter scannen das öffentliche Internet nach auffindbaren Gesichtern und erstellen daraus gigantische Datenbanken. Der Upload eines Fotos in die Suchmaschine reicht aus, schon werden Treffer zu dem gesuchten Gesicht im Netz angezeigt. Und damit sehr wahrscheinlich auch der Name, der Job oder dieses eine peinliche Video, das man mit 20 irgendwo hochgeladen und dann vergessen hat.

Ich dachte, dass solche Suchmaschinen in der EU verboten sind. Doch damit liege ich wohl falsch.

Denn die Bundesregierung möchte solche Systeme schon seit einer Weile haben. Sie möchte es der Polizei erlauben, die Gesichtersuche einzusetzen, um in Strafverfahren nach Verdächtigen und auch Zeug*innen suchen zu können. Am Donnerstag haben die Bundesjustizministerin und der Bundesinnenminister dafür eine Reihe von neuen Gesetzentwürfen vorgestellt.

Eines davon ändert die Strafprozessordnung und schafft damit die Rechtsgrundlage für den “automatisierten biometrischen Abgleich mit öffentlich zugänglichen Daten aus dem Internet”. Und der Begründung zu diesem Gesetz ist zu entnehmen: Das vermeintliche Verbot der biometrischen Gesichtersuche in der KI-Verordnung war womöglich nur ein großes Missverständnis.

Dort steht: „Dieses Verbot gilt nicht, sofern für das Auslesen der Daten keine KI-Systeme eingesetzt werden.“ Dann folgt ein Verweis auf die Leitlinien der EU-Kommission, die das Verbot tatsächlich so auslegen. Und daraufhin erläutert das Ministerium weiter, warum es also unproblematisch und mit der KI-Verordnung im Einklang sei, wenn die Polizei künftig all unsere Urlaubsfotos, Demovideos und sonstigen Bilder im Netz einsammeln, auswerten und in eine große Datenbank kippen darf, um darin per biometrischem Abgleich nach bestimmten Gesichtern zu suchen.

Ohne allzu tief in die Funktionsweise von biometrischen Gesichtersuchmaschinen einzusteigen, kann man wohl zurecht behaupten: Wenn die Bundesregierung mit dieser Interpretation durchkommt, dann ist im Grunde das ganze Verbot den Baustoff nicht wert gewesen, mit dem es errichtet wurde. Dann wären nämlich auch kommerzielle Gesichtersuchmaschinen wie PimEyes – um deren Verbot es dem EU-Parlament gerade ging – in der EU legal.

Das alles sind erste Eindrücke. Wir haben eine Menge Fragen und werden uns jetzt auf die Suche nach Antworten machen. Ich gehe aber vor allem mit dieser Frage ins Wochenende: Was bringt ein Bauwerk, wenn es so löchrig ist, dass es schon durchregnet, noch bevor wir überhaupt einziehen konnten?

Erbauliche Grüße

Chris