Utiq: The new telecom 'Super-Cookie' threatening your privacy

Presented as a privacy-friendly alternative, Utiq is actually a massive tracking tool operated directly by your Internet Service Provider.

The Newest Instagram "Exploit" is the Goofiest I've Seen | Sid's Blog

Polymarket is trying to block VPNs

The era of anonymous trading may be over.

Before you continue

Pluralistic: There’s no such thing as “age verification” (19 May 2026) – Pluralistic: Daily links from Cory Doctorow

Why VPNs Can’t Guarantee Complete Online Anonymity: Understanding the Limits of Digital Privacy

Experts warn that believing VPNs provide absolute anonymity can be risky.

Pluralistic: There’s no such thing as “age verification” (19 May 2026) – Pluralistic: Daily links from Cory Doctorow

Fragnesia: Noch eine schwere Sicherheitslücke im Linux Kernel

Nach den Sicherheitslücken Copy Fail und Dirty Frag wurde jetzt eine dritte kritische Lücke gefunden. Über „Fragnesia“ können Angreifern Root-Rechte erhalten. Betroffen sind alle Systeme, die auch für Dirty Frag anfällig sind. Die Fragnesia getaufte Sicherheitslücke geht auf einen Bug in den Kernel-Modulen esp4 und esp6 für ESP/XFRM zurück. Sie helfen bei der Verschlüsselungen von Internetverbindungen mittels IPSec, das vor allem VPNs absichert. Fragnesia nutzt dabei einen Fehler im XFRM ESP-in-TCP-Subsystem aus. Über ihn können Angreifer genau wie bei Dirty Frag einzelne Bytes in den Kernel-Speicher schreiben. Konkret lassen sich die Daten von eigentlich nur-lesbaren Dateien im Page Cache ändern, ohne dass dies auffällt. Modifiziert ein Angreifer geschickt den Page-Cache-Eintrag von „/usr/bin/su“, kann er über die Kernel-Funktion „execve(“/usr/bin/su”)“ das modifizierter su im Cache starten und so eine Shell mit Root-Rechten erhalten. Die Sicherheitslücke trägt die CVE-Nummer 2026-46300. Um Fagnesia ausnutzen können, benötigen Angreifer wie bei Dirty Frag direkten Zugriff auf den Rechner. Das ist bei Einzelplatzsystemen weniger wahrscheinlich als bei Systemen, die den Remote-Zugang etwa via SSH erlauben oder Dienste in Containern ausführen. Aufgespürt hat die Sicherheitslücke William Bowling mit der künstlichen Intelligenz V12. Auf GitHub stellt er nicht nur einen Exploit in der Programmiersprache C bereit, sondern beschreibt auch etwas detaillierter die Funktionsweise des Angriffs. Verwundbar sind demnach alle Systeme mit einem Linux-Kernel, die vor dem 13. Mai 2026 veröffentlicht wurden. Canonical hat alle seine Ubuntu-Versionen als „betroffen“ ausgewiesen. Dort rät man wie auch William Bowling, alle von Dirty Frag betroffenen Kernel-Module abzuschalten – im Einzelnen „esp4“, „esp6“ und „rxrpc“. Dieser schnelle Workaround könnte allerdings den Betrieb von Diensten stören, die auf IPSec aufbauen. Canonical nennt hier vor allem VPN-Implementierungen wie StrongSwan. Red Hat wiederum empfiehlt, mit entsprechenden Maßnahmen den Zugriff auf das lokale System weitgehend abzudichten und etwa den SSH-Zugang abzuschalten. Unter Ubuntu verhindert zudem AppArmor die Ausführung des Exploits: Dort schränkt die Sicherheitstechnik standardmäßig die Namespaces nicht-previligierter Nutzer ein. Angreifer müssen folglich zunächst AppArmor mit anderen Mitteln austricksen, um den Exploit wirken lassen zu können. Generell helfen alle Maßnahmen gegen Dirty Frag automatisch auch gegen Fragnesia, da beide das gleiche Prinzip ausnutzen. Die aktuellen Kernel-Versionen erhalten bereits einen Patch gegen Fragnesia, den William Bowling eingereicht hat.

Utah tells porn sites to take the P out of VPNs, and it's their fault that they can't

Governments can't touch VPNs technically or commercially. The mess they'll make if they try will be off the scale

Mozilla warns UK: Breaking VPNs will not magically fix Britain's age-check mess

Firefox maker says the tools are basic security infrastructure, not teenage contraband