In VMware ESXi, Workstation, Fusion und Tools hat der Hersteller Broadcom vor zum Teil kritischen Sicherheitslücken gewarnt. Die Entwickler haben aktualisierte Softwarepakete geschnürt, die die Schwachstellen ausbessern sollen.

In der Sicherheitsmitteilung von Broadcom erläutern sie die vier neu entdeckten Sicherheitslücken. In VMware ESXi, Workstation und Fusion können Angreifer mit Admin-Rechten in einer VM mit einem virtuellen VMXNET3-Netzwerkadapter einen Integer-Überlauf provozieren. Dadurch können sie Code im Host-System ausführen (CVE-2025-41236 / EUVD-2025-21544, CVSS 9.3, Risiko „kritisch„). In derselben Software lässt sich zudem ein Integer-Unterlauf im VMCI-Code (Virtual Machine Communication Interface) auslösen, der zu Schreibzugriffen außerhalb vorgesehener Speicherbereiche führt. Admins in einer VM können dadurch Code mit den Rechten des VMX-Prozesses auf dem Host ausführen (CVE-2025-41237 / EUVD-2025-21543, CVSS 9.3, Risiko „kritisch„).

Kritischer Dreiklang

Die dritte kritische Schwachstelle findet sich im paravirtualisierten SCSI-Controller (PVSCSI) von den drei Produkten. Admins in virtuellen Maschinen können einen Heap-basierten Pufferüberlauf darin provozieren und in dessen Folge außerhalb vorgesehener Speichergrenzen schreiben. Damit können sie Code mit den Rechten des VMX-Prozesses auf dem Host laufen lassen. Auf VMware ESXi soll die VMX-Sandbox Exploits in Schach halten und die Lücke nur in nicht unterstützten Konfigurationen missbrauchbar sein (CVE-2025-41238 / EUVD-2025-21542, CVSS 9.3, Risiko „kritisch„).

Als letzte Lücke meldet Broadcom eine Nutzung von nicht initialisiertem Speicher in vSockets von VMware ESXi, Workstation, Fusion und den VMware Tools. Bösartige Akteure mit Admin-Rechten in einer VM können das missbrauchen, um Speicherbereiche aus Prozessen, die mit vSockets kommunizieren, auszuleiten und zu lesen .

In der Sicherheitsmitteilung listet Broadcom die genauen betroffenen VMware-Produktversionen auf und verlinkt zudem die aktualisierten Softwarepakete. Da die Sicherheitslücken zum Großteil als kritisches Risiko gelten, sollten Admins nicht lange zögern, sondern die Updates zeitnah installieren.

Zuletzt hatte Broadcom in VMware NSX Anfang Juni Sicherheitslücken schließen müssen. Die Entwickler haben sie zum Teil als hochriskant eingestuft. Angreifer hätten dadurch unter anderem Schadcode einschleusen und ausführen können.

(dmk)

In der vorhergehenden Folge wurde es bereits angedroht versprochen, nun ist es tatsächlich so weit: Eine ganze Folge mit Neuigkeiten über Public-Key-Zertifikate. Los geht es aber nicht mit der Web-PKI, sondern einem Anbieter von VoIP-Telefonen, der die Konfiguration dieser Telefone – verständlicherweise – mit Zertifikaten absichert. Leider enthält jedes Telefon auch gleich eine passende Zertifizierungsstelle samt privatem Schlüssel – was weit weniger verständlich und vor allem sehr unsicher ist. Die Podcast-Hosts Christopher und Sylvester diskutieren, was es damit auf sich hat.

Weiter geht es mit zwei sehr viel erfreulicheren Nachrichten, die beide von der Web-CA Let’s Encrypt ausgehen. Die hat zum einen ihr erstes produktives Zertifikat für eine IP-Adresse ausgestellt. Die Hosts sehen darin zwar eine ziemliche Nischenanwendung und können nur manche der vorgeschlagenen Anwendungsfälle nachvollziehen, aber in diesen Fällen sind IP-Zertifikate eine schöne Option.

Zum anderen macht „Static-CT“ große Fortschritte. Diese neue Spezifikation für Certificate Transparency (CT) ging aus dem Projekt Sunlight hervor, dessen Entwicklung Let’s Encrypt finanziert hat und das die CA nun auch selbst einsetzt. Christopher und Sylvester besprechen, welche Vorteile Sunlight und Static-CT mit sich bringen und warum diese Verbesserungen sehr willkommen sind.

Im weiteren Verlauf der Folge geht es um eine Bibliothek, die sich fatal an der Einführung von Static-CT verschluckt hatte, und um andere Mechanismen in der Web-PKI, die nicht rund laufen: Wieder mal sind große Zertifizierungsstellen bei teilweise groben Fehlern erwischt worden und mussten sich dem Zorn der Browserentwickler stellen. Außerdem schneiden die Hosts „X9 Financial PKI“ an, eine neue Public-Key-Infrastruktur, mit der DigiCert dem Finanzsektor maßgeschneiderte Services bieten will. Kundeninteresse weckt das natürlich besonders dann, wenn die X9-PKI Dinge ermöglicht, die in der Web-PKI nicht erlaubt sind.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)

Erneut muss Google Sicherheitslücken im Webbrowser Chrome abdichten, von denen eine in freier Wildbahn bereits von Angreifern missbraucht wird. Wer Chrome nutzt, sollte sicherstellen, dass der Browser in aktueller Version läuft.

In der Versionsankündigung schreibt Google, dass das Update insgesamt sechs Schwachstellen ausbessert. Lediglich zu dreien davon gibt Google Hinweise auf deren Natur, die wurden offenbar von externen IT-Sicherheitsforschern gemeldet. Die Entwickler stufen alle drei als hohes Risiko ein. „Google ist bekannt, dass ein Exploit für CVE-2025-6558 in freier Wildbahn existiert“, schreiben die Entwickler dort förmlich. Zuletzt hatte Google vor rund zwei Wochen eine bereits von bösartigen Akteuren missbrauchte Schwachstelle im Chrome-Browser stopfen müssen.

Google Chrome: Attackierte Sicherheitslücke

„Inkorrekte Prüfung von nicht vertrauenswürdigen Eingaben in ANGLE und GPU“ beschreibt Google die angegriffene Sicherheitslücke knapp (CVE-2025-6558 / EUVD-2025-21546, CVSS 8.8, Risiko „hoch„). Hinter ANGLE verbirgt sich die von Google entwickelte „Almost Native Graphics Layer Engine“, die standardmäßig als WebGL-Backend in Chrome (und in Firefox) zum Einsatz kommt und Grafik-Funktionsaufrufe etwa in DirectX, OpenGL oder ähnliche Abstraktionsschichten übersetzt. GPU ist hingegen der beschleunigte Compositor im Browser.

Zudem können Angreifer einen Integer-Überlauf in der Javascript-Engine V8 missbrauchen (CVE-2025-7656 / EUVD-2025-21547, CVSS 8.8, Risiko „hoch„) sowie eine Use-after-free-Lücke in WebRTC (CVE-2025-7657 / EUVD-2025-21545, CVSS 8.8, Risiko „hoch„). Details nennt Google nicht, aber in der Regel können Angreifer derart eingestufte Sicherheitslücken etwa mit manipulierten Webseiten angreifen und dabei eingeschleusten Schadcode ausführen.

Die fehlerbereinigten Browser-Versionen sind Chrome 138.0.7204.157 für Android, 138.0.7204.156 für iOS, 138.0.7204.157 für Linux und 38.0.7204.157/.158 für macOS und Windows.

Versionsprüfung

Der Versionsdialog vom Webbrowser verrät, welcher Softwarestand derzeit aktiv ist. Er lässt sich über das Browser-Menü erreichen, das sich hinter dem Symbol mit drei aufeinandergestapelten Punkten rechts von der Adressleiste befindet. Dort geht es weiter über „Hilfe“ – „Über Google Chrome“.

Unter Linux müssen Nutzerinnen und Nutzer dafür in der Regel die Softwareverwaltung der eingesetzten Distribution starten. Auf Smartphones kommen die Aktualisierungen in die jeweiligen App-Stores, teils jedoch mit Verzögerung.

Da auch andere Webbrowser auf dem Chromium-Code basieren, dürften auch die verwundbar sein. Deren Hersteller dürften in Kürze ebenfalls Aktualisierungen zum Stopfen des Sicherheitslecks verteilen, etwa Microsoft für den Edge-Webbrowser.

(dmk)