Aus einem newsletter des bsi zur IT-sicherheitslage im april 2025. sie beschĂ€ftigen sich da u.a. mit einer erneuten sicherheitslĂŒcke der schon berĂŒchtigten xz-utils. 2024 gabs dort eine eingeschmuggelte backdoor in dem programm (CVE-2024-3094). ĂŒber die neue sicherheitslĂŒcke (CVE-2025-31115) könnte nun wieder schadcode eingeschleust werden. klingt recht beunruhigend, mit einem score von 8.7/10.
so weit, so normal. dann wird das bsi aber deutlich systemkritisch ... :-)
Auch wenn im aktuellen Fall nicht von Vorsatz auszugehen ist, lÀsst das erneute Auftreten einer
Schwachstelle mit CVSS >8 (die dritte in 3 Jahren) Zweifel an der QualitĂ€tskontrolle innerhalb des XZ-Projektes aufkommen. Dabei ist zu berĂŒcksichtigen, dass diese ubiquitĂ€re Softwarekomponente im Wesentlichen von einem einzelnen Maintainer in seiner Freizeit gepflegt wird. Die verfĂŒgbaren
personellen Ressourcen stehen damit in keinem VerhĂ€ltnis zur hohen Verbreitung der Bibliothek. Dies trifft auf eine groĂe Anzahl von Open-Source-Software-Komponenten zu, die oft auch in proprietĂ€rer Software integriert sind, ohne hier offensichtlich zu werden. Zudem handelt es sich dabei um einen sehr frĂŒhen Punkt in der Lieferkette einer Softwarekomponente, die extrem weit verbreitet ist.
Hersteller von umsatzstarken Produkten bzw. Dienstangeboten teilen oftmals auch nicht die Erlöse
mit den bzw. mit allen im Unterbau genutzten Software-Projekten. Durch derartige Projekte sind im Laufe der letzten 30 Jahre eine Vielzahl an höchst wertvollen Software-GĂŒtern entstanden, von denen das Funktionieren der heutigen IT-Welt abhĂ€ngig ist, die jedoch trotz ihrer wirtschaftlichen Verwertung nicht ansatzweise mit Ressourcen ausgestattet wurden, die der damit erzielten Wertschöpfung entspricht. Perspektivisch sollte diesem strukturellen Problem mehr Aufmerksamkeit geschenkt werden.
in einem anderen absatz zum update von win10 auf win11 empfiehlt das bsi auch den wechsel auf linux:
Allen, die noch Windows 10 nutzen, empfiehlt das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI), ein Upgrade durchzufĂŒhren bzw. auf ein anderes Betriebssystem umzusteigen. Das können etwa Windows 11, ein Unix-basiertes Betriebssystem wie macOS oder ein Linux-basiertes Betriebssystem sein.
und mit der entscheidung darĂŒber im professionellen umfeld nicht erst zu warten, bis im herbst der windows10-support "plötzlich" ganz weg ist und das management in spontane panik verfĂ€llt ...
#
computer #
bsi #
CVE #
CVE-2024-3094 #
CVE-2025-31115 #
xz-utlis #
security #
hacks
