Thought Leadership
Broadcom verzögert den Download von Sicherheitsupdates für VMware-Kunden ohne aktuelle Support-Verträge
Kunden von Broadcoms VMware-Sparte können derzeit teilweise nicht auf wichtige Sicherheits-Patches zugreifen, wie TheRegister berichtet. Das setzt sie einem erhöhten Angriffsrisiko aus. Betroffen sind Nutzer mit Perpetual-Lizenzen, die keinen aktuellen Support-Vertrag mit Broadcom haben.
90 Tage Wartezeit für Patches
Das Problem betrifft Kunden, die zwar unbefristete VMware-Lizenzen besitzen, aber keine laufenden Support-Verträge haben. Broadcom weigert sich, diese Verträge zu verlängern, es sei denn, die Kunden wechseln zu Software-Abonnements. Paradoxerweise handelt es sich dabei um Produkte, die Broadcom weiterhin mit Patches und Updates versorgt.
Bereits im April 2024 hatte Broadcom-CEO Hock Tan “kostenlosen Zugang zu Zero-Day-Sicherheits-Patches für unterstützte vSphere-Versionen” versprochen, damit Kunden “ihre Perpetual-Lizenzen sicher verwenden können”.
VMware-Patches sind jedoch nicht frei verfügbar – Nutzer müssen sich in Broadcoms Support-Portal anmelden, um auf die Software zugreifen zu können. Betroffene Kunden berichten gegenüber The Register, dass ihnen der Download von Patches verwehrt wird und VMware-Support-Mitarbeiter eine Wartezeit von bis zu 90 Tagen angekündigt haben.
Broadcom bestätigt Zugriffsbeschränkungen
Ein VMware-Sprecher bestätigte, dass einige Kunden derzeit keinen Zugang zu Patches haben: “Da unser Support-Portal eine Validierung der Kundenberechtigungen für Software-Patches erfordert, haben nur berechtigte Kunden derzeit Zugang zu den Patches.”
Der Sprecher erklärte weiter: “Ein separater Patch-Bereitstellungszyklus wird auch für nicht berechtigte Kunden verfügbar sein und zu einem späteren Zeitpunkt folgen.” Details zu diesem späteren Zeitpunkt nannte er nicht. Nutzer haben bereits seit Ende Mai keinen Zugang zu Patches.
Kritische Sicherheitslücken bedrohen Virtualisierungsumgebungen
Die Situation ist besonders problematisch, da Angreifer bekanntermaßen VMware-Implementierungen ins Visier nehmen. VMware hat 2025 bereits elf Sicherheitshinweise veröffentlicht, darunter letzte Woche eine Warnung vor kritischen Schwachstellen, die es Angreifern mit administrativen Rechten auf einer virtuellen Maschine ermöglichen, Code auf dem Host-System auszuführen – ein Worst-Case-Szenario in virtualisierten Umgebungen.
