Drei Sicherheitslücken gefährden PCs, auf denen VMware Cloud Foundation, NSX, NSX-T, Telco Cloud Infrastructure, Telco Cloud Platform oder vCenter Server installiert sind. Sind Attacken erfolgreich, können Angreifer unter anderem eigentlich geschützte Daten einsehen.

Softwareschwachstellen

In einer Warnmeldung führen die Entwickler drei mit dem Bedarfsgrad „hoch“ eingestufte Sicherheitslücken (CVE-2025-41250, CVE-2025-41251, CVE-2025-41252) auf. Ist ein Angreifer bereits authentifiziert und kann geplante Aufgaben anlegen, soll er in diesem Kontext versendete E-Mails manipulieren können. Ohne Authentifizierung sind unbefugte Zugriffe auf Nutzernamen möglich, die Angreifer im Anschluss für Brute-Force-Attacken nutzen können.

Bislang gibt es keine Berichte, dass bereits Attacken laufen. Admins sollten aber nicht zu lange warten und die Sicherheitsupdates zeitnah installieren. Gegen die geschilderten Angriffe sind die folgenden Versionen geschützt:

• Cloud Foundation, vSphere Foundation 9.0.1.0
• Cloud Foundation 5.2.2, 7.0 U3w
• Telco Cloud Infrastructure KB411508
• Teclo Cloud Platform KB411508
• vCenter 7.0 U3w, 8.0 U3g

Zuletzt sorgten „kritische„ Lücken in unter anderem VMware ESXi für Schlagzeilen, weil Admins die verfügbaren Sicherheitspatches offensichtlich nicht flächendeckend installiert haben.

(des)

Apple-User sollen ein Sicherheitsupdate flugs einspielen, um sich gegen Abstürze und/oder korrumpierten Arbeitsspeicher zu schützen. Nicht korrekter Arbeitsspeicher kann Sprungbrett für weitere Angriffe sein. Betroffen sind sowohl iPhones als auch iPads und diverse Apple-Computer. Daher drängt das BürgerCERT des deutschen Bundesamtes für Sicherheit in der Informationstechnik auf das Update. Die Facheinrichtung warnt vor möglichen Denial-of-Service-Angriffen, hier in der Form wiederholter Abstürze.

Betroffen sind laut Apple folgende Betriebssysteme:

• Apple iOS vor 18.7.1
• Apple iOS vor 26.0.1
• Apple iPadOS vor 18.7.1
• Apple iPadOS vor 26.0.1
• Apple macOS Sequoia vor 15.7.1
• Apple macOS Sonoma vor 14.8.1
• Apple macOS Tahoe vor 15.7.1

Der mit den Updates korrigierte Fehler liegt im Font Parser. Das ist jene Routine, die Schriftarten zu ihrer korrekten Darstellung verhilft. Leider lässt sich der Font Parser durch manipulierte Schriftarten dazu verleiten, in ihm eigentlich nicht zustehende Speicherbereiche zu schreiben.

Schriftarten kommen über Webseiten, Dokumente, Software

Angreifer könnten die „Schwachstelle ausnutzen, um das Gerät zum Absturz zu bringen oder den Prozessspeicher zu beschädigen. Dadurch können andere, nicht näher spezifizierte Angriffe ermöglicht werden“, informiert das BürgerCERT. Für erfolgreiche Ausnutzung genüge es, eine bösartige Anwendung oder ein bösartiges Dokument zu öffnen. Denn Schriftarten sind häufig in Webseiten, Dokumenten oder Anwendungen eingebettet oder werden nachgeladen.

Der Bug ist als CVE-2025-43400 registriert. CVE steht für Common Vulnerabilities and Exposures (Allgemeine Schwachstellen und Gefährdungen) und dient seit mehr als 25 Jahren international der Dokumentation von Sicherheitslücken. Jede bekannte Sicherheitslücke kann dort eine eigene, eindeutige Nummer zugewiesen erhalten.

(ds)

Mit Alphabet knickt ein weiterer Medienkonzern vor US-Präsident Donald Trump ein. In einem außergerichtlichen Vergleich hat sich das US-Unternehmen, zu dem unter anderem Google und Youtube gehören, darauf geeinigt, knapp 25 Millionen US-Dollar zu bezahlen. Damit geht ein weiterer Rechtsstreit rund um die Moderation von Inhalten im Internet ohne richterliches Urteil und zugunsten Trumps zu Ende.

Der Löwenanteil, 22 Millionen US-Dollar, soll laut Gerichtsdokumenten an Trump gehen, um damit den pompösen Umbau eines Ballsaals im Weißen Haus zu finanzieren. Den Rest der Summe, 2,5 Millionen US-Dollar, teilen sich die Mitkläger:innen auf, darunter die rechtsnationalistische American Conservative Union und die für Verschwörungserzählungen bekannte Autorin Naomi Wolf. YouTube selbst räumt den Unterlagen zufolge keine Schuld ein.

Die Klage stammt aus dem Oktober 2021. Nach dem Sturm des US-Kapitols durch Trump-Getreue hatten YouTube und andere soziale Netzwerke eine Reihe an Accounts gesperrt, unter anderem den von Donald Trump. US-Konservative versuchten damals mit allen Mitteln, die formelle Bestätigung des Wahlsiegs des Demokraten Joe Biden zu verhindern. Dazu verbreiteten sie auf allen erdenklichen Kanälen Lügen und Desinformation, was schließlich in die gewaltsame, aber letztlich erfolglose Erstürmung des Parlamentsgebäudes mündete.

Begründet hatten die Tech-Konzerne die Account-Sperren mit der Gefahr von Gewalt, die von den Nutzer:innen ausgehen würde. Trump und andere Konservative, die damals von den Online-Diensten geflogen waren, sahen sich in ihrem Recht auf freie Meinungsäußerung beschnitten.

Mit fragwürdigen Klagen zum Erfolg

Jurist:innen räumten den Klagen allerdings nur geringe Erfolgsaussichten ein: Das in der sogenannten „Section 230“ gesetzlich verankerte Providerprivileg gibt den Online-Diensten freie Hand bei der Moderation von Inhalten. Zugleich garantiert ihnen die US-Verfassung, dass sie ihre Produkte weitgehend uneingeschränkt ausgestalten können. Ein Anbieter wie YouTube kann in seinen Nutzungsbedingungen beispielsweise das Hochladen mutmaßlich pornographischer oder terroristischer Inhalte untersagen.

In den vergangenen Jahren haben viele Online-Dienste ihre Moderationsregeln wieder gelockert und lassen wieder mehr Desinformation und fragwürdige Inhalte zu. Die Accounts von Trump hat sein politischer Verbündeter Elon Musk gleich nach seiner Übernahme des Kurznachrichtendienstes Twitter, inzwischen zu X umbenannt, im Jahr 2022 wieder hergestellt.

Alphabet und Meta zogen im Jahr darauf nach, zudem ist Hetze gegen ganze Menschengruppen oder Desinformation über Impfungen auf Instagram, Facebook und YouTube wieder erlaubt. Trump selbst hat sich von den Diensten mittlerweile unabhängig gemacht und verbreitet seine Botschaften vornehmlich auf seinem eigenen Netzwerk „Truth Social“ oder in rechten TV-Kanälen wie Fox News.

Ein Kniefall nach dem anderen

Ähnlich gelagerte Verfahren hatten andere Online-Dienste ebenfalls nicht bis zum Ende durchgefochten: Anfang des Jahres zahlte Meta 25 Millionen US-Dollar an Trump, Elon Musks X kam mit 10 Millionen US-Dollar davon. Gegenüber der New York Times bezeichnete der Jura-Professor Carl Tobias diese Kniefälle als Versuch, Einfluß bei der US-Regierung einzukaufen. Es scheint, als wollten sich die Unternehmen bei der Trump-Administration einschmeicheln, so Tobias – völlig ohne Not: „Das Recht war auf ihrer Seite“.

Allein in ihrem offenkundigen Bestreben, sich mit Trump gutzustellen, bleiben die Online-Dienste nicht. Mutmaßlich aus Sorge, bei geplanten Firmenfusionen Probleme mit gleichgeschalteten Regulierungsbehörden zu bekommen, hat sich etwa der US-Medienriese Paramount im Sommer bereit erklärt, Trump außergerichtlich 16 Millionen US-Dollar zu zahlen. In vorauseilendem Gehorsam hatte ABC noch vor Trumps Amtsantritt 15 Millionen US-Dollar an ihn überwiesen.

Der steigende Druck auf die Medienlandschaft macht sich zunehmend bemerkbar. Zuletzt verschwand der Talkshow-Moderator Jimmy Kimmel vorübergehend von den TV-Bildschirmen, weil er sich nach der Ermordnung des rechtsradikalen Charlie Kirk kritisch über das rechte Biotop in den USA geäußert hatte. Sein CBS-Konkurrent Stephen Colbert hat seine Sendung bereits im Juli verloren. Einen Zusammenhang mit der damals bevorstehenden Übernahme durch Paramount hatten die Eigentümer:innen jedoch zurückgewiesen. Ausschlaggebend seien einig und allein „finanzielle Gründe“ gewesen. Auch im Online-Bereich gab es jüngst eine lang umkämpfte und umstrittene Übernahme: Das US-Geschäft der aus China stammenden Video-Plattform TikTok soll an ein Konsortium aus Trump-Verbündeten verkauft werden.