Sind Attacken auf IBM AIX/VIOS erfolgreich, kann es unter anderem zu Fehlern im Betrieb kommen. Nun sind Sicherheitsupdates erschienen.

Wie aus einer Warnmeldung hervorgeht, sind mehrere Module der Python-Komponente wie Expat und SQLite betroffen. Eine Lücke (CVE-2025-6965) gilt als „kritisch„. Nach erfolgreichen Attacken kommt es zu Speicherproblemen (Memory corruption).

Sicherheitspatches installieren.

Setzen Angreifer an einer weiteren Schwachstelle (CVE-2025-59375 „hoch„) an, können sie Speicherressourcen blockieren. Davon sind den Entwicklern zufolge AIX 7.3 und VIOS 4.1 betroffen. Gegen die geschilderten Attacken sollen python3.9.base 3.9.23.0 und python3.11.base 3.11.13.0 gerüstet sein. Bislang gibt es keine Berichte über laufende Attacken.

Erst kürzlich haben IBMs Entwickler Sicherheitsprobleme in AIX und QRadar SIEM gelöst.

(des)

Die IT-Sicherheitslösung Email Security und die Fernzugriffssoftware SonicOS SSLVPN von SonicWall sind verwundbar. Nutzen Angreifer die mittlerweile geschlossenen Sicherheitslücken aus, können Sie Systeme im schlimmsten Fall vollständig kompromittieren. Auch wenn es bislang keine Berichte zu laufenden Attacken gibt, sollten Admins ihre Instanzen zeitnah durch die Installation von Sicherheitsupdates schützen.

Diverse Angriffe möglich

Email Security ist einer Warnmeldung zufolge über zwei Softwareschwachstellen attackierbar. Weil beim Download von Code die Dateiintegrität nicht geprüft wird, können Angreifer Systemdateien modifizieren. Auf diesem Weg können sie sich etwa über ein mit Schadcode präpariertes Root-Dateisystem-Image dauerhaft im System verankern. Die Lücke (CVE-2025-40604) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Damit eine solche Attacke klappt, müssen Angreifer aber Zugriff auf den Datenspeicher oder VMDK haben.

Auch über die zweite Lücke (CVE-2025-40605 „mittel„) können sie Daten manipulieren. Konkret bedroht sind Email Security Appliance 5000, 5050, 7000, 7050, 9000, VMware und Hyper-V. Die Entwickler versichern, die Schwachstellen in den Versionen 10.0.34.8215 und 10.0.34.8223 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein.

SSLVPN ebenfalls anfällig

SonicOS SSLVPN ist laut den Informationen in einer Warnmeldung über eine Lücke (CVE-2025-40601 „hoch„) angreifbar. An dieser Stelle können Angreifer Speicherfehler auslösen, was zu Abstürzen führt. Wie solche DoS-Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

Davon sind verschiedene Gen7- und Gen8-Firewalls betroffen, die die Entwickler in der Warnmeldung auflisten. Um Systeme zu schützen, müssen Admins mindestens die Version 7.3.1-7013 oder 8.0.3-8011 installieren.

Im Oktober sorgte SonicWall für Schlagzeilen, weil Angreifer Cloud-Backups von Firewalls kopiert haben.

(des)

Microsoft hat Nerv-Probleme nach der Installation der Sicherheitsupdates aus dem Juli oder neuerer in Windows 11 24H2 eingeräumt. Die treten insbesondere bei nicht-persistenten Windows-Installationen auffallend in Erscheinung.

Das erklärt Microsoft in einem Support-Artikel. „Nach dem Ausstatten eines PCs mit einem kumulativen Update aus dem Juli 2025 oder neuer für Windows 11 24H2 (KB5062553) können diverse Apps wie StartMenuExperiencehost, Search, SystemSettings, Taskbar oder Explorer Schwierigkeiten haben“, schreibt Microsoft dort. Das passiere nach dem ersten Nutzer-Log-in nach dem Anwenden des Updates – und bei allen Nutzer-Anmeldungen auf nicht persistenten Betriebssysteminstallationen wie in einer virtuellen Desktop-Infrastruktur (VDI) oder ähnlichen Umgebungen, bei denen App-Pakete bei jedem Log-in installiert werden müssen. Nicht-persistente Installationen kommen etwa in großen Organisationen vor, bei denen kein größerer Grad an Personalisierung des Windows-Desktops nötig ist und in denen sich Nutzerinnen und Nutzer an unterschiedlichen Arbeitsplätzen anmelden können.

Symptome und Fehlermeldungen

Die Fehler treten typischerweise nach Aktualisierungen für mitgelieferte Abhängigkeitspakete auf, die XAML-Komponenten enthalten. Dann können einige Komponenten nicht starten und Fehlermeldungen auf den Bildschirm bringen. Dazu gehören Explorer.exe, ImmersiveShell, ShellHost.exe oder etwa StartMenuExperienceHost. Außerdem können Anwendungsabstürze beim Initialisieren von XAML-Ansichten auftreten oder der Explorer laufen, ohne in der Taskleiste einen Eintrag anzuzeigen. Konkret lassen sich etwa Abstürze des Explorers beobachten, das Startmenü öffnet sich nicht und zeigt eine kritische Fehlermeldung, die Systemeinstellung „Start“ – „Einstellungen“ – „Systems“ startet einfach nicht ohne weitere Rückmeldung oder die ShellHost.exe stürzt ab.

Die Problemursache hat Microsoft inzwischen gefunden und bestätigt. Die betroffenen Apps haben Abhängigkeiten von XAML-Paketen, die nach der Installation des Updates nicht rechtzeitig registriert werden. Zwar arbeitet Microsoft an einer automatischen Lösung für das Problem, liefert im Support-Beitrag aber auch Hinweise, wie IT-Verantwortliche in betroffenen Umgebungen sich behelfen können.

Dazu gehört das manuelle Registrieren der fehlenden Pakete in der Nutzersitzung und ein anschließender Neustart des SiHost. Microsoft stellt dazu drei Befehle zur Verfügung, die die Registrierung übernehmen. Zudem stellt Microsoft ein Powershell-Skript für nicht persistente Umgebungen bereit. Das sollen Admins als Log-on-Skript laufen lassen.

(dmk)