In VMware ESXi, Workstation, Fusion und Tools hat der Hersteller Broadcom vor zum Teil kritischen Sicherheitslücken gewarnt. Die Entwickler haben aktualisierte Softwarepakete geschnürt, die die Schwachstellen ausbessern sollen.
In der Sicherheitsmitteilung von Broadcom erläutern sie die vier neu entdeckten Sicherheitslücken. In VMware ESXi, Workstation und Fusion können Angreifer mit Admin-Rechten in einer VM mit einem virtuellen VMXNET3-Netzwerkadapter einen Integer-Überlauf provozieren. Dadurch können sie Code im Host-System ausführen (CVE-2025-41236 / EUVD-2025-21544, CVSS 9.3, Risiko „kritisch„). In derselben Software lässt sich zudem ein Integer-Unterlauf im VMCI-Code (Virtual Machine Communication Interface) auslösen, der zu Schreibzugriffen außerhalb vorgesehener Speicherbereiche führt. Admins in einer VM können dadurch Code mit den Rechten des VMX-Prozesses auf dem Host ausführen (CVE-2025-41237 / EUVD-2025-21543, CVSS 9.3, Risiko „kritisch„).
Kritischer Dreiklang
Die dritte kritische Schwachstelle findet sich im paravirtualisierten SCSI-Controller (PVSCSI) von den drei Produkten. Admins in virtuellen Maschinen können einen Heap-basierten Pufferüberlauf darin provozieren und in dessen Folge außerhalb vorgesehener Speichergrenzen schreiben. Damit können sie Code mit den Rechten des VMX-Prozesses auf dem Host laufen lassen. Auf VMware ESXi soll die VMX-Sandbox Exploits in Schach halten und die Lücke nur in nicht unterstützten Konfigurationen missbrauchbar sein (CVE-2025-41238 / EUVD-2025-21542, CVSS 9.3, Risiko „kritisch„).
Als letzte Lücke meldet Broadcom eine Nutzung von nicht initialisiertem Speicher in vSockets von VMware ESXi, Workstation, Fusion und den VMware Tools. Bösartige Akteure mit Admin-Rechten in einer VM können das missbrauchen, um Speicherbereiche aus Prozessen, die mit vSockets kommunizieren, auszuleiten und zu lesen .
In der Sicherheitsmitteilung listet Broadcom die genauen betroffenen VMware-Produktversionen auf und verlinkt zudem die aktualisierten Softwarepakete. Da die Sicherheitslücken zum Großteil als kritisches Risiko gelten, sollten Admins nicht lange zögern, sondern die Updates zeitnah installieren.
Zuletzt hatte Broadcom in VMware NSX Anfang Juni Sicherheitslücken schließen müssen. Die Entwickler haben sie zum Teil als hochriskant eingestuft. Angreifer hätten dadurch unter anderem Schadcode einschleusen und ausführen können.
Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser:innen,
zu Beginn dieser Woche hab ich zufällig ein kurzes Video über Bambus angeschaut. Wusstet ihr, dass einige Arten pro Tag fast einen Meter in die Höhe schießen? Man kann ihnen buchstäblich beim Wachsen zusehen.
Ich bin dann in ein Wurmloch gefallen und hab erfahren, dass Bambus es bei der Zugkraft mit Stahl aufnehmen kann. Dass er weit mehr Sauerstoff freisetzt als Bäume. Und natürlich essen ihn süße Pandabären.
Ein weit weniger erbauliches Bild zeigt die zurückliegende (netz-)politische Woche. Vorratsdatenspeicherung, Daten-Rasterfahndung, biometrische Live-Videoüberwachung – die ungeheuerlichsten Überwachungspläne sprießen gerade so aus dem Boden. Gleichzeitig will die Bundesregierung die Zivilgesellschaft unter Extremismus-Generalverdacht stellen, um ihr die Mittel und Rechte zu beschneiden. Und daneben fällt ihr nichts Besseres ein, als den Druck auf marginalisierte Menschen einmal mehr zu erhöhen – mit weiteren Streichungen und noch härteren Sanktionen.
Mir war klar, dass die Bäume mit Schwarz-Rot nicht in den Himmel wachsen werden. Dass die Regierung aber so rasch und beherzt Richtung Autoritarismus und Überwachungsstaat marschiert – wie auch Lena Rohrbach und Philipp Krüger von Amnesty International mit Blick aufs geplante Bundespolizeigesetz konstatieren –, habe ich dann doch nicht erwartet.
Zurück zum Bambus. Auch wir sind diese Woche ordentlich gewachsen. Drei neue Menschen gehören seit dem 1. September unserem Team an. Timur ist unser erster Volontär und macht nebenher noch Beiträge für KiKA. Bahn-Nerd Ben ist für die nächsten 12 Monate unser Bundesfreiwilliger. Und Fio unterstützt uns ab sofort bei der Social-Media-Arbeit. Wir freuen uns auf die Zusammenarbeit!
Verabschieden mussten wir uns von Lilly, die uns ein Jahr lang tatkräftig als Bundesfreiwillige unterstützt hat. Wie sie auf ihre Zeit bei uns zurückblickt, erzählt sie in der aktuellen Folge unseres Podcasts Off/On. Hört gerne rein. Und vielen Dank für alles, Lilly!
Habt ein schönes Wochenende
Daniel
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Seit Monaten protestieren Microsoft-Mitarbeitende in den USA dagegen, dass ihr Unternehmen Geschäftsbeziehungen zum israelischen Militär und der israelischen Regierung unterhält. Microsoft hat einige demonstrierende Angestellte entlassen. Zugleich will das Unternehmen prüfen, ob israelische Streitkräfte die Azure-Plattform zur Überwachung von Palästinenser:innen nutzen.
Lesen Sie diesen Artikel: Microsoft entlässt Mitarbeitende nach Protesten weiterlesen
Wie unsere jüngsten Team-Mitglieder auf unsere Arbeit und Soziale Medien blicken
Ingo, Karoline und Lilly bei der Arbeit
Karoline ist seit zwei Monaten Praktikantin bei uns. Lilly war seit September 2024 unsere Bundesfreiwillige im Rahmen eines „Freiwilligenjahres Beteiligung“. In der neuen Ausgabe Off The Record erzählen die beiden, was sie bei uns erlebt haben. Welche Tätigkeiten haben sie übernommen? Was haben sie gelernt? Und wie ist das so als junger Mensch in einem älteren Team?
Außerdem gibt’s eine kleine Meme-Nachhilfestunde. Wir sprechen nämlich auch über ihre Erfahrungen mit unserer Community und über die Rolle Sozialer Medien. Lilly hat im letzten Jahr unseren Instagram-Account betreut, Karoline hat sich im Studium intensiv mit Social Media beschäftigt. Was denken die beiden: Sollten wir den Insta-Account unserer Redaktion dichtmachen?
In dieser Folge: Ingo Dachwitz, Karoline Tanck und Lilly Pursch. Produktion: Serafin Dinges. Titelmusik: Trummerschlunk.
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wir freuen uns über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.
Links und Infos
Blattkritik
Karolines Text über verschwundene Porno-Games
Ingos Text über den Wasserverbrauch von Rechenzentren: Immer noch nicht erschienen…
Familienministerin will Demokratieprojekte mit Verfassungsschutz durchleuchten
Während die AfD in aktuellen Umfragen neue Höchstwerteverzeichnet, schießt sich die Bundesregierung ausgerechnet auf jenen Teil der Zivilgesellschaft ein, der für demokratische Werte und gegen den Rechtsruck kämpft. In einem Brief an die „Mitglieder der CDU/CSU-Fraktion im Deutschen Bundestag“ versichert Bundesfamilienministerin Karin Prien (CDU), dass sich im Programm „Demokratie leben“ nun „Grundlegendes ändern“ werde. Unter anderem sollen NGOs einer „breit angelegten Verfassungsschutzprüfung“ unterzogen werden. Den Brief veröffentlichen wir als PDF-Dokument.
Die Familienministerin stellt sich damit in ein unselige Tradition. Nicht nur die rechtsextreme AfD versucht seit Jahren, die demokratische Zivilgesellschaft unter Generalverdacht zu stellen. Auch Hetzportale wie Nius und rechte Medien wie Cicero, NZZ, Welt oder Focus kolportieren seit Langem, dass Deutschland von linken Nichtregierungsorganisationen quasi unterwandert sei und der Staat diese auch noch alimentiere.
Mit Kulturstaatsminister Wolfram Weimer hat diese Erzählung inzwischen einen Vertreter in der Regierung gefunden. Weimer treibt die Debatte kulturkämpferisch voran und hat bereits erste Maßnahmen gegen vermeintlich linke Medienprojekte ergriffen.
Attacken auf demokratische Zivilgesellschaft
Die Debatte um die Zivilgesellschaft geht inzwischen so weit, dass sich jüngst auch die als liberal geltende Wochenzeitung „Die Zeit“ zu der reißerischen Überschrift „Der Staat päppelt die Linken“ hinreißen ließ – nur um im Artikel Rechtsaußen-Rechtsanwalt Joachim „Natürlich bin ich ein Arschloch“ Steinhöfel zu Wort kommen zu lassen und im Verlauf des Textes die These der Überschrift halbwegs zu revidieren.
Auch die Union selbst hatte bereits zu Jahresbeginn ins gleiche Horn gestoßen. Ende Januar hatten CDU und CSU einen Antrag zur Verschärfung der Migrationspolitik in den Bundestag eingebracht und dabei mindestens billigend eine Mehrheit durch Stimmen der AfD in Kauf genommen. Daraufhin riefen zahlreiche zivilgesellschaftliche Organisationen zu Protesten auf.
Offenbar als Reaktion darauf reichte die Union nur wenige Wochen später eine Kleine Anfrage im Bundestag ein. In einem umfangreichen Fragenkatalog erkundigte sie sich nach unter anderem nach der staatlicher Förderung für gemeinnützige NGOs. Die Anfrage wurde innerhalb der Zivilgesellschaft als Einschüchterungsversuch verstanden. Wissenschaftler:innen und Organisationen zeigten sich zutiefst beunruhigt durch das Vorgehen der Unionsfraktion, mehr als 500.000 Menschen unterzeichneten einen Appell an die Bundesregierung.
Grundlegende Änderungen angekündigt
Die Debatte ist nun wieder erstarkt. Und nachdem das Kabinett Ende August die Gelder für das Bundesprogramm „Demokratie leben!“ bewilligt hatte, sah sich Familienministerin Karin Prien offenbar genötigt, sich für diese Entscheidung zu rechtfertigen und gleichzeitig anzukündigen, dass sich nun „Grundlegendes ändern“ werde.
In dem Brief von Prien an die CDU/CSU-Fraktion heißt es:
Wir stärken die Zusammenarbeit mit den Sicherheitsbehörden und der wissenschaftlichen Extremismusforschung und berücksichtigen deren Erkenntnisse in der Programmsteuerung besser. Wer Zuwendungen des Bundes zum Schutz unserer Demokratie erhält, muss selbst Vorbild sein! Es gibt mehr als 400 direkte Partner und mehr als 3000 Projekte als Letztempfänger der Bundesmittel. Wir werden durch klare Strukturen und Verfahren sicherstellen, dass das Ziel, unsere freiheitlich demokratische Grundordnung zu schützen, von allen angestrebt und auch erreicht wird. In einem ersten Schritt – nach wochenlanger Arbeit und mit dem Bundesministerium des Innern abgesprochen – wurde bereits eine breit angelegte Verfassungsschutzprüfung im sogenannten „Haber-Verfahren“ eingeleitet.
„Breit angelegte Verfassungsschutzprüfung“
Das Haber-Verfahren sieht vor, dass die jeweiligen Ressorts zunächst aus ihnen zugänglichen Quellen, wie etwa die jährlichen Verfassungsschutzberichte des Bundes und der Länder, jene Organisationen prüfen, die sie mit dem Programm fördern. „Soweit hiernach eine Klärung nicht möglich sein sollte, können die Ressorts ihre Anfragen zu möglichen verfassungsschutzrelevanten Erkenntnissen über Organisationen, Personen und Veranstaltungen, über deren materielle bzw. immaterielle Förderung das Ressort zu entscheiden hat, unmittelbar an das BfV und nachrichtlich an das BMI richten“, heißt es in einem Gutachten des Wissenschaftlichen Dienstes des Bundestages.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Der Wunsch aus der Union, Initiativen der demokratischen Zivilgesellschaft gegen Rechtsextremismus unter Generalverdacht zu stellen, ist keineswegs neu. Im Jahr 2011 führte die damalige CDU-Familienministerin Kristina Schröder die sogenannte „Extremismusklausel“ bei Demokratieförderungsprogrammen ein. Diese Klausel sah vor, dass sich Initiativen zur freiheitlich-demokratischen Grundordnung verpflichten mussten. Diese Verpflichtung erschwerte unter anderem eine zivilgesellschaftliche Bündnisarbeit etwa bei Protesten gegen Rechtsextremismus, weil geförderte Organisationen für ihre Bündnispartner in Mithaftung genommen wurden. Anfang 2014 wurde die Klausel wieder abgeschafft.
In Vergangenheit hunderte NGOs vom Verfassungsschutz überprüft
Die Durchleuchtung aber ging weiter. Zwischen den Jahren 2015 und 2018 wurden zahlreiche zivilgesellschaftliche Projekte vom Verfassungsschutz geprüft. Bei insgesamt 51 Projekten leitete das Familienministerium damals Daten an den Inlandsgeheimdienst weiter, dem damals noch Hans-Georg Maaßen als Präsident vorstand. Maaßen wird heute selbst vom Bundesamt für Verfassungsschutz als Rechtsextremer geführt und beobachtet.
Wir haben beim Bundesfamilienministerium nachgefragt, was hinter der Ankündigung der Ministerin steckt – und ob dies „eine Änderung der bisherigen Überprüfungspraxis“ darstellt. Außerdem wollten wir wissen, wie viele Überprüfungen durch den Verfassungsschutz im laufenden Jahr sowie in den vergangenen fünf Jahren erfolgt seien.
Nach drei Tagen und mit wiederholter Fristverlängerung schickte uns eine Sprecherin des Ministeriums folgende Antwort, die keine unserer Fragen beantwortet:
Über das allgemein Zugängliche hinaus können keine näheren Informationen zum Prüfverfahren mitgeteilt werden. Die Wirkung des Verfahrens könnte ansonsten beeinträchtigt werden. Im Übrigen wurde und wird keine statistische Erhebung im BMBFSFJ zu Erkenntnissen der Verfassungsschutzbehörden geführt.
