Diverse Sicherheitslücken betreffen Hard- und Software von AMD und Intel. Im August stellen beide Hersteller Updates und teils lediglich Informationen dazu bereit. Einige können und sollten Nutzerinnen und Nutzer installieren, für andere sind die Hardwarehersteller in der Pflicht.

Lückenhafte AMD-Hard- und -Software

Mehrere Sicherheitslücken in den GPUs und in den Prozessoren integrierten Pendants von AMD erreichen teils hochriskanten Status. In der Tabelle der Sicherheitsmeldung listet AMD die einzelnen Schwachstellen auf – die bisweilen bis ins Jahr 2021 zurückreichen. Für Data-Center-Graphics-Produkte verteilt AMD teilweise seit September 2024 aktualisierte Treiber, die die Probleme lösen. Für die Endanwender-GPUs stehen für Teile der Lücken bereits seit 2023 Treiber-Updates bereit, die aktuelleren Lücken scheinen jedoch erst jene Treiber zu schließen, die seit Ende Mai dieses Jahres bereitstehen.

Die AMD-Client-Prozessoren weisen ebenfalls diverse Schwachstellen auf, die etwa den System Management Mode (SMM), AMD Security Processor (ASP) und weitere Komponenten betreffen. Hier reichen die Sicherheitsmeldungen aus dem August 2025 ebenfalls teils bis 2021 zurück. Sie betreffen unter anderem Prozessoren der Ryzen-2000-Reihe, jüngere zudem auch die neueren Prozessoren bis hin zur Ryzen AI 300-Baureihe. Diverse Firmware-Microcode-Versionen stehen dafür bereit, die etwa Mainboard-Hersteller in ein BIOS-Update verpflanzen müssen.

Die Serverprozessoren von AMD kommen glimpflicher davon, hier meldet das Unternehmen deutlich weniger Sicherheitslücken, von denen lediglich zwei ein hohes Risiko darstellen. Eine jüngere Lücke aus diesem Jahr ermöglicht lokalen Admins, bösartigen CPU-Microcode zu laden (CVE-2025-0032, CVSS 7.2, Risiko „hoch„). Außerdem können Angreifer mit physischem Zugriff und Ring0-Zugriffsrechten eine unzureichende Prüfung von Daten aus dem Speicherriegel-DIMM-SPD missbrauchen, um dem System Management Mode Code unterzujubeln (CVE-2024-36354, CVSS 7.5, Risiko „hoch„) – was jedoch nicht unbedingt trivial auszuführen klingt. Für diverse Epyc-Prozessoren von 4004 bis 9005 lösen Firmwareupdates das Problem.

AMD berichtet außerdem von einem Forschungspapier, in dem die Analysten dem Zen-4-PSP (Platform Security Processor) durch Aussetzen von Spannungsfehlern (Voltage Fault Injection, VFI) eigenen Code unterjubeln können. Dafür ist lokaler, physischer Zugriff nötig. „Physische Angriffe wie VFI liegen außerhalb des Bedrohungsmodells betroffener AMD-Produkte“, merkt der Hersteller dazu an, weshalb es dafür keine Lösung in Form von Updates gibt. Betroffen sind Epyc Zen 4 und deren Embedded-Geschwister sowie vorhergehende, die AMD Instinct MI-200-, MI-300- und MI-350-Reihe, Ryzen Zen 4 und vorherige, die Ryzen 9000HX- sowie 9000-er und die Embedded-Varianten mit Zen 4 und ältere Fassungen. Zudem Radeon RX 7000/6000/5000/VII/Vega, Radeon Pro W7000/6000/5000/VII/Vega und Radeon Pro V-Baureihen.

Zahlreiche Sicherheitsprobleme bei Intel-Produkten

In der Nacht zum Mittwoch hat auch Intel zahlreiche Sicherheitsmitteilungen veröffentlicht, mehr als 30 Stück insgesamt. Davon stechen lediglich einige mit ihrem Schweregrad „hohes Risiko“ heraus. Einige Intel-Ethernet-Treiber für Linux ermöglichen demnach das Ausweiten der Rechte am System, Informationsabfluss oder einen Denial-of-Service. Insbesondere im Kernel-Mode-Treiber für Ethernet-Karten der Intel-700-Series können angemeldete Angreifer Versionen vor der aktuellen 2.28.5 ihre Rechte ausweiten (CVE-2025-24486, CVE-2025-25273, CVSS 7.8, Risiko „hoch„; CVE-2025-21086, CVSS 7.5, Risiko „hoch„). Es handelt sich um Bestandteile der Xeon-D-2100-Prozessoren sowie C620-Chipsätze. Eine der Lücken mit niedrigerer Risikoeinstufung betrifft zudem die Versionen des Ethernet-Treibers für die I350-Baureihe und wird mit Version 5.19.2 oder neuer geschlossen.

Für die Intel-WLAN-Treiber für Wi-Fi 6E AX211, Wi-Fi 7 BE200, BE201 und BE202 stellt das Unternehmen zudem die aktualisierte Version 23.110.0.5 bereit. Angreifer können aufgrund unzureichender Zustandsprüfungen einen Denial-of-Service in den Vorgängerversionen provozieren (CVE-2025-20625, CVSS 7.4, Risiko „hoch„). In einigen IPUs und Chipsätzen können Angreifer ihre Rechte ausweiten, da eine Race-Condition zwischen einer Prüfung und der Nutzung einer nicht näher genannten Information in der Converged Security and Management Engine (CSME) besteht. Dadurch können angemeldete Nutzer ihre Rechte ausweiten (CVE-2025-20037, CVSS 7.2, Risiko „hoch„). Zwei etwas weniger gravierende Lücken betreffen zudem die Server Platform Services (SPS) und Active Management Technology (AMT) sowie Intel Standard Manageability. Die hochriskante Lücke betrifft die Intel Core Ultra-Prozessoren der Baureihen 1 und 2. Die Firmware-Updates auf Version 18.1.18, 19.0.5 sowie 20.0.5 bessern die Fehler aus.

Für die Probleme, die mit Treiberupdates lösbar sind, sollten Betroffene die aktualisierten Treiber herunterladen und installieren. Wo Firmwareupdates nötig sind, sollten sie hingegen die Hersteller-Webseiten ihrer Systeme konsultieren, ob dort etwa BIOS-Updates für ihre Systeme verfügbar sind.

(dmk)

Insgesamt 824 Beschwerden über mögliche Verstöße gegen das Gesetz über digitale Dienste (DSA) gingen im Jahr 2024 beim deutschen Digital Services Coordinator (DSC) ein. 87 Beschwerden leitete diese Koordinierungsstelle an den DSC des EU-Landes weiter, wo der betreffende Online-Dienst seinen Sitz hat. In fast allen Fällen war das Irland, wo viele US-Dienste, darunter Meta und Google, angesiedelt sind. Selbst eröffnete der deutsche DSC lediglich vier Verwaltungsverfahren gegen Anbieter, für deren Aufsicht er verantwortlich ist. Das geht aus dem ersten Tätigkeitsbericht der Behörde über das Vorjahr hervor, der gestern veröffentlicht wurde.

Vollständig in Betrieb ist der bei der Bundesnetzagentur angedockte DSC seit Mai 2024. Die Leitungsstelle ist mit Johannes Heidelberger erst seit Juli besetzt. Die Behörde ist für die Durchsetzung des DSA zuständig. Das europäische Digitalgesetz ist nach einer Übergangszeit Anfang des Vorjahres in Kraft getreten und soll unter anderem die Rechte von Nutzer:innen gegenüber Online-Diensten sichern. Betroffene Dienste müssen etwa zumindest grob offenlegen, wie sie Inhalte moderieren und sich dabei an bestimmte Regeln halten.

Ein Großteil der Beschwerden drehte sich laut dem Tätigkeitsbericht um mögliche Verstöße gegen die Impressumspflicht oder den Datenschutz. Hinzu kamen Beschwerden über betrügerische Webseiten, Geschäftsmodelle oder Dienstleister sowie Abo-Fallen oder Probleme bei Online-Einkäufen. Berücksichtigt wurden in der Statistik lediglich gültige Eingaben nach Artikel 53 des DSA, der Nutzer:innen ein Beschwerderecht einräumt.

Ein Verfahren abgeschlossen

In drei der vier eingeleiteten Verfahren ging es um DSA-Anforderungen an die Einrichtung von Melde- und Abhilfeverfahren (Artikel 16), die Begründung von Maßnahmen gegenüber Nutzer:innen (Artikel 17) und die Ausgestaltung des internen Beschwerdemanagementsystems der Plattformen (Artikel 20). Eines der Verfahren wurde bereits im Vorjahr abgeschlossen, da der Anbieter die Mängel rasch beseitigt hat. In zwei der Verfahren sind die Ermittlungen noch nicht abgeschlossen. Im vierten noch offenen Verfahren geht es um einen Anbieter aus dem EU-Ausland, der bislang keinen vom DSA vorgeschriebenen gesetzlichen Vertreter benannt hat.

Neben dem DSC übernehmen weitere Behörden gesonderte Aufsichtspflichten. Für besonders große Online-Dienste, sogenannte VLOPs (Very Large Online Platforms), obliegt die Kontrolle der EU-Kommission. Darüber hinaus ist für die Durchsetzung des Jugendmedienschutzes in Deutschland die bei der Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) angesiedelte unabhängige Stelle zur Durchsetzung von Kinderrechten in digitalen Diensten (KidD) zuständig. Zudem übernehmen die Landesmedienanstalten sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) weitere Aufgaben. Von den Beschwerden nach Artikel 53 wurden zwei an die anderen zuständigen Behörden weitergeleitet, in diesen Fällen an die Landesmedienanstalten.

Vor allem letztere Behörden waren recht umtriebig. So haben die Landesmedienanstalten im Vorjahr 4.225 nicht mit Rechtswirkung versehene Hinweise auf potenziell rechtswidrige Inhalte an Online-Dienste versendet, sogenannte „Referrals“. Dabei grasen sie teils automatisiert das Netz nach potenziellen Rechtsverstößen ab. Die Schwelle zu einer Entfernung von rechtswidrigen Inhalten auf Basis des DSA haben die Hinweise in den meisten Fällen bislang nicht überschritten. Erreicht haben den DSC lediglich 51 Anordnungen der Landesmedienanstalten, die sich auf rechtswidrige Fälle bezogen hatten.

Vollständig ist die Statistik über Entfernungs- und Auskunftsanordnungen jedoch nicht, betont der Bericht. So steht das Portal für solche Anordnungen erst seit November 2024 den Justiz- und Verwaltungsbehörden zur Verfügung und wurde erst seit dem ersten Quartal 2025 sukzessive bekannt gemacht. Insbesondere im strafrechtlichen Kontext soll es eine „Vielzahl von Ermittlungsanordnungen“ gegeben haben, die nicht an den DSC übermittelt werden konnten, heißt es im Bericht.

Erste Zertifizierungen

Neben der Bearbeitung von Beschwerden von Nutzer:innen oder Behörden hat der DSC erstmals sogenannte vertrauenswürdige Hinweisgeber zertifiziert. Dabei kann es sich beispielsweise um zivilgesellschaftliche Organisationen mit besonderer Expertise handeln, deren rechtlich nicht bindende Hinweise auf mutmaßlich rechtswidrige Inhalte von den Online-Diensten mit Priorität behandelt werden sollen. Insgesamt wurden im Vorjahr 22 Anträge gestellt, davon abgesegnet wurde bloß jener der „Meldestelle REspect!“ bei der Jugendstiftung Baden-Württemberg.

Zugelassen wurde mit der User Rights GmbH auch erstmals eine außergerichtliche Streitbeilegungsstelle. In einem noch früheren Stadium befindet sich der Forschungsdatenzugang, dessen Rahmenbedingungen die EU-Kommission erst jüngst festgelegt hat. Am entsprechenden delegierten Rechtsakt habe sich der DSC beteiligt; mit Zertifizierungen ist im Laufe des Jahres zu rechnen.

Auch an anderer Stelle zeigt sich, wie jung der DSA noch ist. So ist der DSC personell weiterhin unterbesetzt. Geschätzt wurden im Vorfeld rund 70 benötigte Planstellen für Fachaufgaben und 20 für querschnittliche Aufgaben wie IT-Technik oder Personalbearbeitung. Zum Stichtag 31.12.2024 waren jedoch nur insgesamt 20 Personen beim DSC beschäftigt. Zudem sind im Entwurf des Haushaltes 2025 insgesamt nur knapp 50 Planstellen vorgesehen. Das monierte schon der Beirat des DSC in seinem jüngst veröffentlichten ersten Bericht. Zwar sei die Zusammenarbeit „positiv und konstruktiv“. Allerdings stellte das Gremium fest, dass die DSC-Koordinierungsstelle „nach wie vor durch ihre begrenzte personelle Ausstattung limitiert ist“.

Zwei Sicherheitslücken meldet Zoom in den Windows-Clients. Sie ermöglicht Angreifern aus dem Netz ohne vorherige Anmeldung, ihre Rechte auszuweiten. Das Unternehmen stellt Aktualisierungen zur Verfügung, die die Schwachstellen ausbessern.

Die schwerwiegendere Sicherheitslücke stuft Zoom als kritische Bedrohung ein. Laut Sicherheitsmeldung von Zoom geht sie auf einen nicht vertrauenswürdigen Suchpfad zurück. „Das kann nicht authentifizierten Nutzern ermöglichen, eine Ausweitung ihrer Rechte über Netzwerkzugriffe auszuführen“, erörtern die Entwickler des Unternehmens dort (CVE-2025-49457 / EUVD-2025-24529, CVSS 9.6, Risiko „kritisch„). Details dazu, wie Angriffe aussehen könnten, nennen sie hingegen nicht.

Mittelschwere Schwachstelle

Zudem haben die Entwickler eine Race Condition in der Software ausgebügelt. Etwas verschwurbelt formuliert Zoom in der zugehörigen Sicherheitsmitteilung, dass nicht authentifizierte Nutzer diese Schwachstelle im Installer bestimmter Zoom-Client für Windows die „Integrität mit lokalem Zugriff beeinflussen“ können (CVE-2025-49456 / EUVD-2025-24528, CVSS 6.2, Risiko „mittel„). Auch hier bleibt im Dunkeln, wie Angreifer diese Lücke konkret missbrauchen können.

Die kritische Sicherheitslücke dichtet die Version 6.3.10 von Zoom Workplace for Windows, Zoom Workplace VDI for Windows (hier sind die Versionen 6.1.16 und 6.2.12 nicht anfällig), Zoom Rooms for Windows, Zoom Rooms Controller for Windows und schließlich Zoom Meeting SDK for Windows ab. Die Race Condition bügeln die Versionen Zoom Workplace 6.4.10, Zoom Workplace VDI for Windows 6.3.12 (6.2.15 ist nicht verweundbar), Zoom Rooms und der Rooms Controller for Windows 6.4.5 sowie das Zoom Meeting SDK for Windows 6.4.10 aus.

Die aktuelle Software steht auf der Download-Seite von Zoom zum Herunterladen bereit. Aufgrund des Schweregrads sollten IT-Verantwortliche zeitnah auf die jüngste Fassung der Konferenzsoftware aktualisieren.

Zuletzt fielen im Mai Schwachstellen in Zoom-Webkonferenzsoftware auf. Auch dort konnten Angreifer aufgrund einer Race Condition ihre Rechte im System ausweiten.

(dmk)