Wenn Autodesk 3ds Max bestimmte Dateien verarbeitet, kann es zu Speicherfehlern kommen. In so einem Kontext können Angreifer oft Schadcode auf PCs schieben und ausführen. Nun haben die Entwickler zwei derartige Sicherheitslücken geschlossen.

PCs absichern

Wie aus dem Sicherheitsbereich der Autodesk-Website hervorgeht, können Angreifer das Fehlverhalten durch präparierte JPG- (CVE-2025-11795 „hoch„) oder DWG-Dateien (CVE-2025-11797 „hoch„) auslösen.

Davon ist die Version 2026 bedroht. Die Entwickler versichern, die Schwachstellen in der Ausgabe 2026.3 geschlossen zu haben. Auch wenn es noch keine Attacken gibt, raten die Entwickler zu einem zügigen Update.

(des)

Nach dem Bündnis „Offene Netzwerke“ hat nun auch die Agora Digitale Transformation ein Policy Paper veröffentlicht und empfiehlt mehr Investitionen in und Projekte für offene Plattformen. Europas digitale Öffentlichkeit hänge heute an der Infrastruktur weniger globaler Plattformkonzerne. Was als Komfort begonnen habe, sei längst ein sicherheits-, wirtschafts- und demokratiepolitisches Risiko geworden. Deswegen bestehe Handlungsbedarf, um die digitale Souveränität zu stärken. Der Zeitpunkt für die Veröffentlichung ist bewusst gewählt, denn am 18. November findet in Berlin der „Gipfel zur Europäischen Digitalen Souveränität“ des Digitalministeriums statt.

Grundidee der Empfehlungen ist, dass „bestehende, funktionierende Lösungen aus der Nische in den Mainstream“ geführt werden sollen. Die bestehenden „Nischen-Plattformen“ könnten aufgrund einer Reihe von Mängeln und Herausforderungen ihr Marktpotenzial nicht verwirklichen. Dazu gehören laut dem Papier (PDF) unter anderem Design, Produktentwicklung, Rechtssicherheit, Skalierbarkeit oder auch der Schutz vor Desinformation.

Geld für Entwicklung

Die Agora zählt sowohl das Fediverse wie auch das auf dem AT-Protokoll aufbauende BlueSky zu den offenen Plattformen. Um diese zu fördern, seien mehrere Schritte nötig. Dazu zählt der Thinktank Innovationsförderung und Wissensaustausch. Zur Koordination des Themengebietes empfehlen die Autor:innen die Gründung einer „Agentur für resiliente Kommunikation (ARK)“, diese könne Synergien mit der Bundesagentur für Sprunginnovationen SPRIND und der ebenfalls dort angesiedelten Sovereign Tech Agency (STA) nutzen.

Bei der Innovationsförderung sollen konkrete Verbesserungen offener Plattformen bei der Nutzbarkeit oder der Produktentwicklung angeschoben werden, ebenso sollen Ressourcen für den Aufbau eigener Plattform-Instanzen öffentlicher und zivilgesellschaftlicher Träger bereitgestellt werden.

Beim Thema Rechtssicherheit erwarten sich die Autoren unter anderem Rechtshilfe für Startups im Bereich der offenen Plattformen, ebenso wie eine Art Open-Source-Datenbank zur Erkennung von Darstellungen sexualisierter Gewalt gegen Kinder sowie die Anerkennung der Gemeinnützigkeit des Unterhalts offener Plattforminfrastruktur.

Mehr öffentliche Inhalte auf offene Plattformen

Gleichzeitig solle zu den offenen Plattformen geforscht werden. Hierbei stellt sich Agora unter anderem Potenzialanalysen vor, die Chancen und Bedarfe gemeinwohlorientierter Plattformen und Protokolle für Wirtschaft, Sicherheit und Demokratie in Deutschland und Europa konkret aufzeigen und identifizieren.

Auf der Inhaltsebene empfehlen die Autor:innen, dass öffentlich-rechtliche Inhalte nicht nur über die Mediatheken, sondern auch über offene Plattforminfrastrukturen zugänglich gemacht werden. Wie auch das Bündnis „Offene Netzwerke“ fordert Agora die Einführung des „+1-Prinzips“. Dieses zielt auf die Bundesregierung, Behörden sowie öffentliche Institutionen ab, die öffentliche Mittel nutzen, um auf kommerziellen Plattformen zu kommunizieren.

Sie sollen mindestens eine gemeinwohlorientierte Plattform gleichwertig aktiv bespielen müssen. Nutzer:innen, die auf dem Laufenden bleiben möchten, wären damit nicht gezwungen, Accounts bei kommerziellen Plattformen anzulegen. Gleichzeitig könne das „+1-Prinzip“ dezentrale Netzwerke zusätzlich beleben und stärken, so die Hoffnung.

IBMs IT-Schutzlösung QRadar SIEM und das Serverbetriebssystem AIX sind verwundbar. Die Entwickler haben unter anderem eine „kritische“ Sicherheitslücke mit Höchstwertung geschlossen.

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Um Systeme vor möglichen Attacken zu schützen, sollten Admins die verfügbaren Sicherheitspatches jedoch zeitnah installieren.

Verschiedene Gefahren

In einer Warnmeldung listen die Entwickler vier Schwachstellen in AIX und VIOS auf. Eine davon (CVE-2025-36250) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Die Schwachstelle betrifft konkret NIM Server und erlaubt es entfernten Angreifern, eigene Befehle auszuführen. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Systeme nach einer erfolgreichen Attacke als vollständig kompromittiert gelten.

Zwei weitere „kritische“ Schwachstellen (CVE-2025-36251, CVE-2025-36096) erlauben Schadcode-Attacken oder den Zugriff auf private Schlüssel. Setzen Angreifer an einer weiteren Lücke (CVE-2025-36236 „hoch„) an, können sie Dateien ins System schreiben. Die dagegen gerüsteten Versionen sind in der Warnmeldung aufgeführt.

Eine „kritische“ Schwachstelle (CVE-2025-16971) betrifft die Azure-SDK-for-Java-Komponente von QRadar SIEM. Darüber können Angreifer Sicherheitsfeatures umgehen. Was das konkret bedeutet und wie so ein Angriff ablaufen könnte, führen die Entwickler derzeit nicht aus.

Eine weitere Schwachstelle (CVE-2025-33119 „mittel) betrifft die Anmeldung. Sind Angreifer authentifiziert, können sie in Konfigurationsdateien auf Zugangsdaten zugreifen. Die Entwickler geben an, die Sicherheitsprobleme in QRadar 7.5.0 UP14 IF01 gelöst zu haben.

Zuletzt haben die Entwickler eine Root-Sicherheitslücke in IBM Db2 geschlossen.

(des)