Connect with us

Datenschutz & Sicherheit

Was plant die EU-Kommission bei KI und Datenschutz?


Drei Personen in formellen Setting sprechen und scherzen miteinander
Offenbar auf einer Linie: Ursula von der Leyen, Emmanuel Macron und Friedrich Merz Ende Oktober in Brüssel. – Alle Rechte vorbehalten IMAGO / Anadolu Agency

Offiziell will die EU-Kommission mit ihrem gestern vorgestellten Omnibus-Paket eine Reihe europäischer Digitalgesetze in Einklang bringen. Das soll nach eigener Aussage vor allem kleinen und mittelständischen Unternehmen sowie europäischen Start-ups helfen.

Durch Bürokratieabbau, Vereinfachung der EU-Rechtsvorschriften und einen besseren Datenzugang „schaffen wir Raum für Innovationen und deren Vermarktung in Europa“, sagt die zuständige Kommissionsvizepräsidentin Henna Virkkunen. „Dies tun wir auf europäische Art und Weise: indem wir sicherstellen, dass die Grundrechte der Nutzer:innen in vollem Umfang geschützt bleiben.“

Vor allem die deutsche und die französische Regierung haben sich jüngst für weitgehende Änderungen und Deregulierung eingesetzt. Aber auch die US-Regierung hat in den vergangenen Monaten den Druck auf die EU und ihre Mitgliedsländer erhöht, die europäischen Standards bei den Datenschutz- und Verbraucherschutzrechten zu senken.

Wir beantworten die zentralen Fragen zum „Digitalen Omnibus“: Welche kritischen Veränderungen strebt die Kommission bei der Regulierung von sogenannter Künstlicher Intelligenz an? Inwiefern will sie den Datenschutz aufweichen? Und verschaffen weniger Cookie-Banner den Nutzer:innen mehr Rechte?

Was plant die EU-Kommission mit Blick auf die KI-Verordnung?

  • Die Kommission will die Umsetzung eines Teils der KI-Verordnung um fast eineinhalb Jahre nach hinten schieben. Das betrifft vor allem die sogenannten Hochrisiko-Systeme. Konkret geht es um zwei Fristen.
  • Erstens beim Einsatz bestimmter KI-Anwendungen, wie sie im Anhang III der KI-Verordnung definiert sind. Das betrifft Systeme, die etwa in Beschäftigungsverhältnissen, bei der Migrationskontrolle oder bei biometrischer Videoüberwachung zum Einsatz kommen.
    • Die ursprüngliche Frist für die Umsetzung dieser Regeln war der 2. August 2026. Nun sollen Unternehmen sechs Monate mehr Zeit erhalten, die hier genannten Anforderungen umzusetzen.
    • Zunächst aber muss die Kommission die hierfür erforderlichen Standards finalisieren. Das muss sie nun bis Juni 2027 tun, damit die Regeln, wie von der Kommission angekündigt, ab Dezember 2027 gelten können.
  • Zweitens verschieben sich die Umsetzungsfristen für hochriskante KI-Systeme etwa im Medizin-, Justiz- oder Maschinenbereich. Deren Vorgaben finden sich in Anhang I der KI-Verordnung. Solche Anbieter sollen die Vorgaben sogar erst ab Dezember 2028 einhalten.
  • In beiden Fällen will die Kommission die Regulierung offenkundig verzögern, damit europäische Anbieter im KI-Wettlauf aufholen können. Ebendies hatten Vertreter:innen der deutschen und der französischen Regierung auch auf dem „Gipfel zur Europäischen Digitalen Souveränität“ betont. Dabei geht die Kommission mit ihrem Vorschlag noch über die Forderungen der deutschen und französischen Regierung hinaus. Sie hatten eine Verzögerung von 12 Monaten gefordert. Als Begründung dafür gab Henna Virkkunen an, dass die Kommission die notwendigen Standards noch nicht ausgearbeitet habe.

Warum sollen KI-Systeme mit personenbezogenen Daten ohne Einwilligung trainiert werden dürfen?

  • In den vergangenen Jahren gab es wiederholt einen Aufschrei, wenn Unternehmen wie Meta oder LinkedIn entschieden, die Daten ihrer Nutzer:innen für das Training von KI-Modellen zu nutzen, ohne die Einwilligung ihrer Nutzer:innen einzuholen. Die Kommission will klarstellen, dass dies rechtmäßig ist.
  • Die Datenschutzgrundverordnung (DSGVO) sieht unterschiedliche Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten vor. Neben der Einwilligung, die Nutzer:innen den stärksten Schutz bieten soll, gibt es zum Beispiel auch das sogenannte berechtigte Interesse. Datenverarbeiter:innen müssen hierbei in einer Abwägung zu dem Schluss kommen, dass ihre Interessen die der Nutzer:innen überwiegen, müssen diesen aber eine Widerspruchsmöglichkeit anbieten.
  • Genau das haben Meta, LinkedIn und Co. getan – und die Widerspruchsmöglichkeit dabei so umständlich gestaltet, dass sie möglichst wenige Leute nutzen können.
  • Dagegen hatte die Verbraucherzentrale NRW mit einem Eilantrag beim Oberlandesgericht Köln geklagt und verloren. Zuvor hatte bereits der Europäische Datenschutzausschuss den Weg für KI-Training auf Basis des berechtigten Interesses geebnet.
  • Die EU-Kommission will diese Lesart nun gesetzlich festschreiben. Zum Schutz der Nutzer:innen soll es Informations- und Widerspruchsmöglichkeiten geben.
  • Das Problem: Einige Datenschutzexpert:innen kritisieren das „legitime Interesse“ als Rechtsgrundlage schon seit langem, unter anderem, weil die Risiken nicht absehbar seien. KI-Firmen könnten in der Regel nicht sagen, wessen Daten verarbeitet werden und ob dabei besonders geschützte sensible Daten eingeflossen seien, schrieb etwa Jura-Professorin Paulina Jo Pesch in einem Gastbeitrag auf netzpolitik.org.
  • Die EU-Kommission begründet den Freifahrtschein für das Training und den Betrieb von KI-Modellen damit, dass Europa im KI-Wettrennen aufholen soll und europäischen Firmen mehr Innovationen ermöglicht werden müsse. Der KI-Markt wird jedoch von großen Tech-Firmen aus den USA dominiert, sodass vor allem diese von dem Schritt profitieren dürften. Auf Nachfrage bei einer Pressekonferenz am Mittwoch konnte die Kommission nicht erklären, wie die Maßnahme europäischen Unternehmen beim Aufholen helfen soll.

Auf Crash-Kurs mit digitalen Grundrechten

Inwiefern will die Kommission die Datenschutzgrundverordnung einschränken?

  • Die Kommission will pseudonymisierte Daten überwiegend nicht mehr als personenbezogene Daten definieren und vom Schutz durch die DSGVO ausnehmen. Solche Ausnahmen soll es künftig etwa dann geben, wenn es unwahrscheinlich ist, dass der Datenverarbeiter eine betroffene Person über ihre Daten identifizieren kann.
  • Pseudonymisierung meint in der Regel, dass Daten keine direkten Identifikationsmerkmale wie den Namen oder die Telefonnummer einer Person enthalten. Stattdessen werden Pseudonyme vergeben, etwa individuelle IDs.
  • Das Problem: Anders als bei einer Anonymisierung ist es bei der Pseudonymisierung oft leicht möglich, die betroffene Person zu re-identifizieren. Wir haben das erst jüngst in der Databroker-Files-Recherche vorgeführt, bei der wir von Datenhändlern kostenlos Millionen Standortdaten aus Belgien erhielten. Die Daten enthielten keine Namen, sondern waren lediglich pseudonymen Werbe-IDs zugeordnet. So konnten wir die einzelnen Standorte zu Bewegungsprofilen zusammensetzen und mit einfachen Mitteln hochrangiges Personal der Europäischen Union identifizieren und ausspionieren.
  • Die EU-Kommission beruft sich bei ihrem Vorschlag auf ein Urteil des Europäischen Gerichtshofs. Dieser hatte die Definition personenbezogener Daten in der Vergangenheit mehrfach weit ausgelegt. Im September 2025 entschied er erstmalig, dass Pseudonymisierung dazu führen kann, dass diese Definition, was personenbezogene Daten sind, enger gefasst wird.
  • Kritiker:innen wenden ein, dass die Kommission mit ihrem Vorschlag weit über das Urteil des EuGH hinausgeht und zudem vorherige Rechtsprechung zur weiten Auslegung des Personenbezuges ignoriert.
  • Die Datenschutzorganisation noyb kritisiert zudem, dass der vorgeschlagene „subjektive Ansatz“, bei dem von Fall zu Fall entschieden wird, ob pseudonymisierte Daten personenbezogen sind, zu Chaos führen und Datenschutz verhindern werde. Das sei wie ein Waffengesetz, das nur dann gelte, wenn der Besitzer einer Waffe freiwillig sage, dass er damit jemanden erschießen wolle. Es drohten deshalb endlose Debatten darüber, was die tatsächlichen Möglichkeiten und Absichten eines Unternehmens zur Re-Identifikation sein könnten. Die DSGVO wäre dann kaum noch durchsetzbar.
  • Auch die Fraktionen der Sozialdemokraten, Liberalen und Grünen im Europaparlament warnten vor der Änderung. „Diese Definition schafft erhebliche Rechtsunsicherheit und große Lücken für Unternehmen und würde den Anwendungsbereich der Verordnung drastisch einschränken. Es stellt sich die Frage, ob die Verordnung dann überhaupt noch Adressaten hätte“, schrieben etwa führende sozialdemokratische Abgeordnete.

Was schlägt die Kommission zu Cookies vor?

  • Cookie-Banner gelten als Symbol für den gescheiterten Datenschutz im Netz. Unternehmen dürfen das Online-Verhalten von Menschen eigentlich nur tracken, wenn diese freiwillig und informiert zugestimmt haben. Cookie-Banner lassen Nutzer:innen aber oft weder eine freie Wahl, noch informieren sie sie ausreichend über das Tracking. Dabei kann eine Einwilligung hier weitgehende Folgen haben, denn Tracking-Firmen sehen sie als Freifahrtschein, um uns komplett zu durchleuchten, in Kategorien zu stecken und unsere Daten an Databroker zu verschleudern.
  • Die Kommission will der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden begegnen und „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.
  • Konkret bedeutet das: Browser, Apps, Betriebssysteme oder Einwilligungsmanager sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen.
  • Website-Anbieter sollen rechtlich verpflichtet werden, diese Signale zu akzeptieren und maximal alle sechs Monate erneut nachzufragen, ob man nicht doch Tracking-Cookies akzeptieren möchte.
  • Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.
  • Die Kommission schlägt zudem vor, dass die Mitgliedsstaaten diese Regeln durch nationale Gesetze aushebeln können.

Warum sollen Unternehmen aus Sicherheitsgründen auf unsere Geräte zugreifen dürfen?

  • Technisch gesehen geht es bei Cookies darum, dass andere (kleine) Dateien auf unseren Rechnern und Telefonen speichern und auslesen dürfen. Dieser Zugriff auf den Speicher kann auch anderen Zwecken als Werbe-Tracking dienen. Für einige davon will die EU-Kommission eine Art Freifahrtschein ausstellen, etwa für das Erstellen von Besucherstatistiken, für das Bereitstellen von angefragten Diensten oder für Sicherheitszwecke.
  • Es wäre dann klargestellt, dass es beim Setzen von Cookies oder anderweitigem Zugriff auf den Gerätespeicher für diese Zwecke keine vorherige Einwilligung braucht.
  • Die Datenschutzorganisation noyb sieht vor allem die weitgehenden Befugnisse für Sicherheitszwecke kritisch, weil nicht klar genug definiert ist, was damit gemeint ist und weil Unternehmen Sicherheitsgründe vorschieben könnten: „Während die allgemeine Richtung der Änderungen verständlich ist, ist die Formulierung extrem freizügig und würde auch exzessive „Durchsuchungen“ von Nutzergeräten zu (winzigen) Sicherheitszwecken erlauben.“

Wie sollen Betroffenenrechte eingeschränkt werden?

  • Auch eine zentrale Errungenschaft der DSGVO kommt unter Druck: die Betroffenenrechte. Anträge auf Auskunft, Berichtigung oder Löschung von Daten sollen künftig abgelehnt werden können, wenn sie „missbräuchlich“ seien. Die Ausübung dieser Rechte soll nur noch gestattet sein, wenn sie „Datenschutzzwecken“ dient.

Kehrtwende für die „Innovationsführerschaft“

Wie fallen die Reaktionen aus?

  • European Digital Rights (EDRi), die Dachorganisation europäischer Digital-NGOs, lässt kein gutes Haar am Vorschlag der EU-Kommission. Dieser berge die Gefahr, ein „über Jahrzehnte hinweg mühsam aufgebautes regelbasiertes System zu zerstören“. Dadurch würden „die Grundlagen von Menschenrechten und der Digitalpolitik in der EU gefährdet“.
  • Auch der Datenschutzexperte Max Schrems und seine Organisation noyb bekräftigen ihre Kritik an den Plänen. Sie warnen: Die EU-Kommission wolle „Kernprinzipien der DSGVO zerstören“.
  • Vom deutschen Verbraucherzentrale Bundesverband kommt ebenfalls Kritik. „Statt unter dem Deckmantel von Entbürokratisierung Verbraucherschutz und Grundrechte abzubauen, muss die EU für klare Regeln sorgen und gleichzeitig das bestehende Schutzniveau erhalten“, sagt Verbandsvorständin Ramona Pop. „Mit ihren Plänen setzt die EU jedoch das Vertrauen der Verbraucherinnen und Verbraucher aufs Spiel.“
  • Industrieverbände zeigen sich hingegen eher erfreut – sowohl über den deutsch-französischen Vorstoß in dieser Woche als auch über die Gesetzesvorschläge der Kommission. Der Bundesverband Digitale Wirtschaft etwa befürchtet allerdings auch neue Komplexität statt Vereinfachung.
  • Und der Branchenverband Bitkom e. V. verlangt, „mehr Mut, Bürokratie und Überregulierung drastisch zu reduzieren“. Zugleich fordern Bitkom und der Verband der Automobilwirtschaft, die DSGVO grundsätzlich zu überarbeiten.

Was hat die Kommission auf den letzten Metern gestrichen?

  • Nicht mehr enthalten ist ein Vorschlag, Online-Tracking auf Basis anderer Rechtsgrundlagen als der Einwilligung zu ermöglichen. Dies hätte bedeutet, dass Tracking-Firmen das Online-Verhalten von Menschen auch ohne Einwilligung auf Basis ihres „berechtigten Interesses“ hätten rechtfertigen können.
  • Der geleakte Zwischenentwurf sah vor, dass die Vorgaben des Artikel 9 der Datenschutzgrundverordnung aufgeweicht werden. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. Diese sensiblen Daten hätten enger definiert werden sollen. Besonders geschützt wären dann nur noch jene Daten gewesen, die die genannten Informationen explizit offenbaren. Das ist nun offenbar erst einmal vom Tisch.

Wie geht’s jetzt weiter?

  • Der Omnibus nimmt nun den normalen Weg der EU-Gesetzgebung. Die Vorschläge der Kommission werden also unter den 27 EU-Staaten im Rat sowie im Europäischen Parlament diskutiert. Die einzelnen Institutionen kommen zu eigenen Positionen und müssen sich im Anschluss im sogenannten Trilog-Verfahren einigen.
  • Die EU-Kommission macht bei ihren Vereinfachungsvorhaben allerdings ordentlich Druck. Statt wie üblich Jahre soll die Beratung am besten nur wenige Monate in Anspruch nehmen.
  • Im Parlament wird bereits Kritik am digitalen Omnibus laut. So haben Sozialdemokraten und Grüne bereits angekündigt, gegen die Aushöhlung des Datenschutzes zu stimmen. Nach der gestrigen Vorstellung der Vorschläge positionierte sich auch die Linke dagegen.
  • Allerdings könnte die konservative EVP-Fraktion erneut mit Stimmen der extremen Rechten wie bereits beim ersten Omnibus-Paket am 13. November eine Mehrheit bilden und auch dieses Gesetzespaket durchwinken.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Kritische Lücke in Automatisierungstool: n8n erlaubt Codeschmuggel


Die No-Code-Automatisierungslösung n8n erfreut sich großer Beliebtheit, erlaubt sie doch auch Programmieranfängern, mit einem grafischen Werkzeug komplexe Abläufe einzurichten, API-Anfragen zu stellen und LLMs automatisiert zu nutzen. Vier kritische Sicherheitslücken, eine davon gar mit der Maximalwertung von 10 Punkten, verleiden Systemverwaltern jedoch aktuell die Freude an dem Werkzeug. Experten sind uneins, wie kritisch die Lücke ist.

Weiterlesen nach der Anzeige

Wenn Sicherheitslücken mit griffigen, möglichst gruselig klingenden Namen auftauchen, ahnt der geneigte Leser oft nichts Gutes, so auch bei „Ni8mare“. So nannte die Sicherheitsfirma Cyera den Fehler mit der CVE-ID CVE-2026-21858 und stufte ihn als kritisch ein – nebst CVSS-Maximalwertung von 10. Sobald ein per n8n erstelltes Webformular aus dem Web zugänglich ist, sei es Angreifern möglich, beliebige Dateien des n8n-Servers auszulesen.

Doch eine neue Analyse der Lücke durch Horizon3.ai relativiert das Risiko: Zwar sei die Sicherheitslücke tatsächlich vorhanden und aus der Ferne ausnutzbar, doch gebe es mehrere Vorbedingungen, die bei keinem Kunden des Unternehmens erfüllt seien. So fehle es meist an einer Möglichkeit, die gewonnenen Daten zu exfiltrieren. Admins sollten ihre n8n-Instanzen flicken, Panik sei jedoch unangebracht.

Lückenwirrwarr mit und ohne PoC

Zusätzlich zu „Ni8mare“ gibt es noch „N8scape“ (CVE-2025-68668, CVSS 9,9, kritisch), eine bereits in der Weihnachtszeit publizierte Lücke, die angemeldeten Nutzern ungeplant erlaubt, Python-Code auf dem n8n-Hostsystem auszuführen. Dafür müssen sie jedoch ausreichend Berechtigungen besitzen, um Arbeitsabläufe zu erstellen oder zu verändern. Ebenfalls ungeplante Codeausführung bietet CVE-2027-21877 (CVSS 9,9, kritisch).

Die aktuell größte Gefahr geht jedoch von einer Lücke aus, die gar nicht als kritisch ausgewiesen ist: CVE-2025-68613 stellt zwar mit einem CVSS-Punktwert von 8,8 „nur“ eine „hohe“ Gefahr dar, lässt sich aber mit „Ni8mare“ verknüpfen, wie ein „Proof of Concept“-Exploit (PoC) beweist. Setzt man diesen auf eine verwundbare n8n-Instanz an, so lassen sich nicht nur Dateien des Hostsystems auslesen, sondern zusätzlich beliebige Systemkommandos ausführen (Remote Code Execution, RCE). Die abwiegelnde Analyse von Horizon3.ai mag also für „Ni8mare“ allein stimmen, erweist sich aber im Zusammenspiel mit einer zusätzlichen Sicherheitslücke als trügerisch.


PoC für n8n-Lücke CVE-2026-21858 + CVE-2025-68613

PoC für n8n-Lücke CVE-2026-21858 + CVE-2025-68613

Bin ich drin? Das war ja einfach! Dieser Exploit verkettet zwei Sicherheitslücken zur Codeausführung bei n8n, hier in einem Docker-Container.

Update auf 2.0.0 empfohlen

Weiterlesen nach der Anzeige

Wer n8n auf eigenen Systemen einsetzt, etwa als Docker-Container, sollte direkt ein Update auf Version 2.0.0 erwägen. Zwar sind einige der kritischen Sicherheitslücken auch in Versionen des 1.x-Baums behoben, doch dessen Produktunterstützung endet bald: Am 15. März 2026 ist Schluss, drei Monate nach Veröffentlichung von n8n 2.0.0.

Neben den vier kritischen Lücken finden sich in der Sicherheitslücken-Übersicht auf GitHub weitere Sicherheitsprobleme, die in den letzten Tagen und Wochen bereinigt wurden.

n8n ist eine deutsche Start-up-Erfolgsgeschichte. Das Projekt gewann kürzlich mit einem Zuwachs von 112.400 GitHub-Sternen im Jahr 2025 die „Rising Stars“ des beliebtesten JavaScript-Projekts, die dahinterstehende n8n GmbH gilt nach einer neunstelligen Finanzspritze als „Einhorn“ mit einer Bewertung von 2,5 Milliarden US-Dollar.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Kein Patch im BMW: ”Pwn My Ride“-Lücke in CarPlay und AirPlay bleibt bestehen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Kein Patch trotz teurem Schlitten: BMW hat sich offenbar dazu entschlossen, für seine Car-Entertainment-Systeme keine Fehlerbehebungen für die sogenannte Pwn-My-Ride-Lücke an die Kundschaft zu geben. Das im Frühjahr 2025 entdeckte Problem ist massiv, betrifft Apples Streamingprotokoll AirPlay sowie bei Fahrzeugen auch CarPlay – und kann zur Übernahme ganzer Geräte genutzt werden. Apple hatte seine eigene Hardware verhältnismäßig schnell gepatcht, doch viele Anbieter von Unterhaltungselektronik mit AirPlay- und CarPlay-Fähigkeit zogen entweder nicht nach oder brauchten Monate. Im September hieß es etwa, dass noch zahlreiche Autohersteller betroffen sind. Unklar war zum damaligen Zeitpunkt, welche Marken Patches ganz unterlassen. Das wird nun langsam deutlich.

Weiterlesen nach der Anzeige

BMW-Experten sehen „äußerst geringes“ Risiko

Ein Mac & i-Leser, der einen BMW i3s besitzt, der im Februar 2024 übernommen wurde, versuchte seit vielen Monaten, eine Antwort vom Hersteller zu bekommen. Nachdem bei Werkstatt und Kundenservice wenig auszurichten war, wendete er sich an das BMW-Beschwerdemanagement. Das Ergebnis war ernüchternd. Zwar räumte BMW ein, dass das Fahrzeug von der grundsätzlichen Lücke (CVE-2025-24132) betroffen ist. Allerdings sieht der Konzern keine Gefahr.

Man habe das Leck „kurz nach Veröffentlichung“ von „unseren Experten“ prüfen lassen. Dabei ergab sich dann Folgendes: „Die gemeldete Sicherheitslücke erfordert, dass ein Angreifer mit einem böswilligen Gerät aktiv eine Kopplung mit der Headunit des Fahrzeugs via Bluetooth durchführt.“ Dieser Kopplungsprozess setzte sowohl eine direkte Initiierung aus dem Kopplungsmenü des Fahrzeugs als auch eine PIN-basierte Validierung voraus. „Dieser mehrstufige Prozess stellt sicher, dass eine unbeabsichtigte oder unautorisierte Kopplung praktisch ausgeschlossen [ist].“ Angesichts dieser „strengen Voraussetzungen“ wird „das Sicherheitsrisiko für unsere Kunden als äußerst gering“ eingeschätzt.

„Klarheit und Sicherheit“ ohne Patch

Und da das Ausnutzen der Sicherheitslücke „von unseren Security-Experten als äußerst gering eingeschätzt“ wurde, sei eben „kein weiteres Software-Update für Ihr Fahrzeugmodell geplant“. Er hoffe, „dass diese Erklärung Klarheit und Sicherheit in Bezug auf die bestehenden Maßnahmen zum Schutz der Kundensicherheit bietet“, so der Bearbeiter weiter. Der Mac & i-Leser ist mit der Entscheidung nicht einverstanden: „Für meine Wenigkeit trägt das Verhalten von BMW nicht zur Kundenbindung bei.“

Tatsächlich lässt sich die Entscheidung BMWs nur schwer nachvollziehen. Zur Anwendung eines potenziellen Exploits – also der Übernahme des Car-Entertainment-Systems mit möglicherweise schweren Folgen – reicht es aus, physischen Zugriff (also samt Schlüssel) auf das Fahrzeug zu haben. Die Kopplung ist weder durch ein Nutzerpasswort geschützt noch auf andere Art – das kennt man etwa aus Mietfahrzeugen, in denen zig Bluetooth-Profile zu finden sind. BMW reagierte auf eine Anfrage an die Pressestelle zunächst nicht. Mit „Pwn My Ride“ ist ein Root-Zugriff auf das Unterhaltungssystem samt aller sich daraus ergebender Möglichkeiten verbunden: Von der Manipulation des Systems über das Abgreifen von Daten bis zu Spionage. Die Firma Oligo, die das Problem entdeckt hat, veröffentlichte dazu mehrere recht beeindruckende Beispiele, die auch über CarPlay laufen.

Weiterlesen nach der Anzeige


(bsc)



Source link

Weiterlesen

Datenschutz & Sicherheit

Mediaplayer VLC: Aktualisierte Version stopft zahlreiche Lücken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Das VideoLAN-Projekt hat mit den Versionen 3.0.22 und 3.0.23 des VLC Player diverse Sicherheitslücken beim Verarbeiten von unterschiedlichen Medienformaten ausgebessert. Wer die Software zum Streamen und zur Medienwiedergabe einsetzt, sollte auf die jüngste Version aktualisieren.

Weiterlesen nach der Anzeige

In einer Sicherheitsmitteilung erörtert das VideoLAN-Projekt die Sicherheitslücken, die VLC 3.0.22 bereits schließt. Die Schwachstellen können VLC abstürzen lassen, die Entwickler schließen jedoch nicht aus, dass sie sich verknüpfen lassen, um Schadcode auszuführen oder Nutzerinformationen preiszugeben. Immerhin haben sie keine Hinweise darauf, dass die Lücken bereits missbraucht würden.

Die Schwachstellen betreffen die Verarbeitung der Formate und Verarbeitungsmodule MMS, OggSpots, CEA-708-Untertitel, ty, CVD-Untertitel, Ogg-Demuxer, WebVTT, NSV-Demuxer, SRT-Untertitel, ASF, MP4-Demuxer, SPU-Decoder, SVCD-Untertitel-Decoder, tx3g-Untertitel-Decoder und schließlich den Audio-Ausgabe-Puffer auf dem Stack. In den News listen die Programmierer in den Änderungen zwischen VLC 3.0.22 und 3.0.21 unter „Security“ noch weitere Schwachstellen auf und merken an, dass auch diese Liste nicht erschöpfend ist.

Noch neuere Version mit nur wenigen Korrekturen

Die jüngere Version VLC 3.0.23 ist laut Release-Notes nur ein kleines nachgeschobenes Fix-Release. Allerdings korrigiert auch sie einige weitere Sicherheitslücken, wie in den VLC-News nachzulesen ist. Etwas stakkatoartig listen die Entwickler dort auf, dass sie eine „Null Deref“ in libass behoben haben, was vermutlich eine Null-Pointer-Dereferenzierung meint. In den Modulen zur Verarbeitung von Theora und CC-708 gab es offenbar undefinierte Shifts, in Daala hingegen einen Integer-Überlauf. Der h264-Parser konnte in eine Endlosschleife geraten. Zudem korrigierten sie darin einen Pufferüberlauf in PNG sowie mehrere „Format-Überläufe“.

Auf der Download-Seite von VLC steht die Software vorkompiliert für diverse Plattformen zum Herunterladen bereit. Inzwischen wurde die Software 6 Milliarden Mal heruntergeladen; die Entwickler planen zudem die Ergänzung von lokalen KI-Funktionen.


(dmk)



Source link

Weiterlesen

Beliebt