Vor etwa vier Wochen hat Broadcom ein Update zum Schließen einer Sicherheitslücke in VMware ESXi, Fusion und Workstation veröffentlicht, die als kritisch gilt. Sie ermöglicht den Ausbruch aus der virtuellen Maschine und Ausführung von Schadcode auf dem Host-System. IT-Verantwortliche verteilen das Update offenbar jedoch nur sehr zögerlich.

Konkret lautet die Fehlerbeschreibung: In VMware ESXi, Workstation und Fusion können Angreifer mit Admin-Rechten in einer VM mit einem virtuellen VMXNET3-Netzwerkadapter einen Integer-Überlauf provozieren. Dadurch können sie Code im Host-System ausführen (CVE-2025-41236 / EUVD-2025-21544, CVSS 9.3, Risiko „kritisch„). Die Schwachstelle wurde auf dem Pwn2Own-Wettbewerb der Zero Day Initiative (ZDI) von Trend Micro vom IT-Sicherheitsforscher Nguyen Hoang Thach vorgeführt.

Admins zeigen sich gleichgültig

Trotz dieses Schweregrads bleiben viele Admins untätig. Die Shadowserver Foundation beobachtet verwundbare Systeme über den Zeitraum und kommt zu einem erschreckenden Ergebnis: Waren am 19.07.2025 noch 17.238 im Internet erreichbare Systeme von der Schwachstelle CVE-2025-41236 betroffen, waren es am 11.08.2025 immer noch 16.439 – davon stehen 6301 Server in Europa. Am 31.07.2025 gab es einen Einbruch auf 12.544 Systeme, stieg dann jedoch wieder auf das hohe Level an. Die Ursache für den kurzen „Absacker“ ist derzeit unbekannt.

Broadcom stellt Links auf die aktualisierte Software in der Sicherheitsmitteilung aus dem Juli bereit. Betroffen sind VMware ESXi 8.0 und 7.0, VMware Workstation 17.x und 13.x, VMware Cloud Foundation 5.x und 4.x sowie VMware Telco Cloud Platform 5.x, 4.x, 3.x und 2.x.

Administratorinnen und Administratoren sollten die Aktualisierungen so rasch wie möglich anwenden. Schwachstellen in VMware-Hypervisoren dienen Kriminellen oft als Einfallstor. So etwa auch im März dieses Jahres. Dort waren IT-Verantwortliche ebenfalls langsam beim Patchen, sodass Angreifer die Schwachstelle CVE-2025-22224 ausnutzen konnten.

(dmk)

Der August-Patchday von SAP bringt 15 neue Sicherheitsnotizen, die unter anderem kritische und hochriskante Schwachstellen in den Produkten des Unternehmens behandeln. IT-Verantwortliche sollten die bereitgestellten Aktualisierungen zügig anwenden.

Die Übersichtsseite zu den SAP-Patches zählt zudem vier aktualisierte, ältere Notizen auf. Am gravierendsten ist eine Codeschmuggel-Lücke in SAP S/4HANA, die sowohl die On-Premises- als auch die Private-Cloud-Variante betrifft. Angreifer mit Benutzerrechten können einen Fehler im Funktionsmodul missbrauchen, das über RFC angreifbar ist, und dadurch unter Umgehung „essenzieller Autorisierungsprüfungen“ beliebigen ABAP-Code ins System einschleusen. Die Schwachstelle funktioniere effektiv als Backdoor mit dem Risiko der vollständigen Kompromittierung des Systems, schreibt SAP in der Schwachstellenbeschreibung (CVE-2025-42957 / EUVD-2025-24203, CVSS 9.9, Risiko „kritisch„).

Die Fehlerbeschreibung für eine Sicherheitslücke in SAP Landscape Transformation (SLT) liest sich identisch und erreicht dieselbe Risikoeinstufung (CVE-2025-42950 / EUVD-2025-24206, CVSS 9.9, Risiko „kritisch„).

Weitere Sicherheitslücken in SAP-Produkten

Die Risikoeinstufung „hoch“ hat zudem eine Schwachstelle in SAP Business One (SLD) erhalten. Die Autorisierung darin war kaputt und ermöglicht angemeldeten Angreifern die Ausweitung ihrer Rechte (CVE-2025-42951 / EUVD-2025-24205, CVSS 8.8, Risiko „hoch„). Mehrere Lücken in SAP Netweaver erlauben etwa, Komponenten zum Absturz zu bringen und damit einen Denial-of-Service (DoS) zu provozieren (CVE-2025-42976 / EUVD-2025-24201, CVSS 8.1, Risiko „hoch„). Eine Cross-Site-Scripting-Lücke ermöglicht unangemeldeten Angreifern zudem, Links zu erstellen, die bösartigen Code in Netweaver ausführen (CVE-2025-42975 / EUVD-2025-24202, CVSS 6.1, Risiko „mittel„).

Weitere Sicherheitslücken mit mittlerem oder niedrigem Schweregrad betreffen zudem SAP S/4HANA (Bank Communication Management), SAP NetWeaver Application Server ABAP, SAP NetWeaver ABAP Platform, SAP NetWeaver Application Server ABAP (Apps basierend auf SAP GUI for HTML), SAP GUI for Windows, SAP NetWeaver AS for ABAP und ABAP Platform(Internet Communication Manager), SAP Cloud Connector und SAP Fiori (Launchpad).

Der SAP-Patchday im Juli fiel deutlich umfangreicher aus: Die Walldorfer veröffentlichten 27 Sicherheitsnotizen, von denen gleich fünf als kritisches Risiko eingeordnete Schwachstellen behandelt haben.

(dmk)