Gewollt oder ungewollt macht Broadcom VMware-Kunden mit unbefristeten Lizenzen das Leben weiter schwer.Broadcom Laut einem Bericht wird VMware-Kunden mit unbefristeten Lizenzen, deren Support-Vertrag abgelaufen ist, der Zugriff auf kritische Sicherheits-Patches über das Support-Portal von Broadcom verweigert. Betroffene Lizenzinhaber berichten, dass sie keine Patches herunterladen können. Support-Mitarbeiter von VMware hätten laut einem Bericht von „The Register“ darauf hingewiesen, dass es bis zu 90 Tage dauern kann, bis Sicherheits-Updates über alternative Kanäle verfügbar sind. Diese Zugangsbeschränkungen stellen ein unmittelbares Sicherheitsrisiko für Unternehmen dar – besonders, da VMware im Jahr 2025 bereits mehrere kritische Sicherheitshinweise veröffentlicht hat, die ESXi, Workstation und Fusion betreffen. Diese Schwachstellen ermöglichen es Angreifern, mit Admin-Rechten auf virtuelle Maschinen zuzugreifen und Code auf Host-Systemen auszuführen. Kein Zugang trotz Zusagen des CEO Ein VMware-Sprecher bestätigte in dem Bericht die Zugriffsbeschränkung und erklärte: „Da unser Support-Portal eine Überprüfung der Kundenberechtigungen für Software-Patches erfordert, haben derzeit nur berechtigte Kunden Zugriff auf die Patches.“ Es werde jedoch zu einem späteren Zeitpunkt einen separaten Patch-Lieferzyklus für nicht berechtigte Kunden geben. Ein konkreter Zeitrahmen wurde jedoch nicht genannt. „An der Verpflichtung von Broadcom hinsichtlich kritischer VMware-Sicherheitsupdates hat sich nichts geändert“, fügte Broadcom in einer per Email an Network World übermittelten Erklärung hinzu. „Nutzer von älteren VMware-Produkten ohne aktive Wartungs- und Support-Verträge erhalten weiterhin kostenlosen Zugang zu kritischen Sicherheits-Patches – solange diese Produkte von Broadcom unterstützt werden. Dies schließt auch die Patches für kritische Schwachstellen ein, die im VMware Security Advisory 2025-0013 adressiert wurden.“ Interne Mitteilungen von Broadcom zeigen laut dem Bericht von „The Register“, dass auch Support-Mitarbeiter davon ausgehen, dass „die jüngsten Änderungen an unserem Support-Portal im Zusammenhang mit der Überprüfung von Berechtigungen zu Verzögerungen bei der Bereitstellung von Patches für Kunden mit abgelaufenen Berechtigungen führen werden“. „Grenzen akzeptablen Anbieterverhaltens überschritten“ Broadcoms Entscheidung, den Patch-Zugang einzuschränken, hat die Grenzen akzeptablen Anbieterverhaltens neu gezogen“, erklärt Sanchit Vir Gogia, Chefanalyst und CEO von Greyhound Research. „Es geht hier nicht nur um eine Patch-Politik – es geht um eine grundsätzliche Verschiebung der Softwarebesitz-Normen: weg von Dauerhaftigkeit, hin zu Bedingtheit.“ „In einer Zeit, in der verzögerte Fehlerbehebungen zu Sicherheitslücken oder Compliance-Verstößen führen können, muss das Recht auf Patches vom Abo-Status entkoppelt werden“, so Gogia. CISOs müssten den Zugang zu Sicherheits-Patches jetzt als strategische Vertrauensfrage auf Vorstandsebene behandeln, fügt er hinzu. Strategische Implikationen für IT-Führungskräfte Die Situation rund um VMware zwingt IT-Teams in Unternehmen dazu, ihre Abhängigkeiten von Virtualisierungs-Technologien und ihre Risikobereitschaft neu zu bewerten. Organisationen müssen prüfen, welche Sicherheitsrisiken entstehen, wenn kritische Patches mit bis zu 90 Tagen Verzögerung bereitgestellt werden. „Unternehmen dürfen nicht länger davon ausgehen, dass eine unbefristete Lizenz langfristig den Zugang zu Updates oder Support garantiert“, rät Gogia und fügt hinzu: „Stattdessen sollten sie Schutzklauseln in Verträge aufnehmen, darunter Patch-Rechte mit Treuhand-Absicherung (Escrow) und verbindliche Vereinbarungen zur Betriebskontinuität.“ Auch Naveen Chhabra, Principal Analyst bei Forrester, betont die Notwendigkeit konkreter Risikokontrollen: „Man braucht Transparenz darüber, wie schnell der Anbieter Sicherheits-Updates veröffentlicht. Gibt es eine Sperrfrist?“, fragt er. „Stellen Sie sich vor, VMware sagt aus Höflichkeit „Ja“ zur Bereitstellung von Sicherheits-Patches, veröffentlicht diese jedoch erst nach 90 Tagen, wodurch Ihr Unternehmen angreifbar bleibt.“ Neil Shah, Vice President Research und Gründer von Counterpoint Research, empfiehlt IT-Verantwortlichen, vertragliche Schutzmechanismen zu etablieren, um Risiken im Fall von Übernahmen, Insolvenzen oder SLA-Verletzungen zu adressieren – einschließlich Sonderklauseln für Nachverhandlungen oder Entschädigungen sowie verlängerten Support für kritische Software. Zudem rät er, mit Aufsichtsbehörden zusammenzuarbeiten, um regulatorische Schutzrahmen zu schaffen, die solche Risiken künftig besser abfedern können. (mb)
Broadcom blockiert Patches für VMware-Altkunden
Gewollt oder ungewollt macht Broadcom VMware-Kunden mit unbefristeten Lizenzen das Leben weiter schwer.Broadcom Laut einem Bericht wird VMware-Kunden mit unbefristeten Lizenzen, deren Support-Vertrag abgelaufen ist, der Zugriff auf kritische Sicherheits-Patches über das Support-Portal von Broadcom verweigert. Betroffene Lizenzinhaber berichten, dass sie keine Patches herunterladen können. Support-Mitarbeiter von VMware hätten laut einem Bericht von „The Register“ darauf hingewiesen, dass es bis zu 90 Tage dauern kann, bis Sicherheits-Updates über alternative Kanäle verfügbar sind. Diese Zugangsbeschränkungen stellen ein unmittelbares Sicherheitsrisiko für Unternehmen dar – besonders, da VMware im Jahr 2025 bereits mehrere kritische Sicherheitshinweise veröffentlicht hat, die ESXi, Workstation und Fusion betreffen. Diese Schwachstellen ermöglichen es Angreifern, mit Admin-Rechten auf virtuelle Maschinen zuzugreifen und Code auf Host-Systemen auszuführen. Kein Zugang trotz Zusagen des CEO Ein VMware-Sprecher bestätigte in dem Bericht die Zugriffsbeschränkung und erklärte: „Da unser Support-Portal eine Überprüfung der Kundenberechtigungen für Software-Patches erfordert, haben derzeit nur berechtigte Kunden Zugriff auf die Patches.“ Es werde jedoch zu einem späteren Zeitpunkt einen separaten Patch-Lieferzyklus für nicht berechtigte Kunden geben. Ein konkreter Zeitrahmen wurde jedoch nicht genannt. „An der Verpflichtung von Broadcom hinsichtlich kritischer VMware-Sicherheitsupdates hat sich nichts geändert“, fügte Broadcom in einer per Email an Network World übermittelten Erklärung hinzu. „Nutzer von älteren VMware-Produkten ohne aktive Wartungs- und Support-Verträge erhalten weiterhin kostenlosen Zugang zu kritischen Sicherheits-Patches – solange diese Produkte von Broadcom unterstützt werden. Dies schließt auch die Patches für kritische Schwachstellen ein, die im VMware Security Advisory 2025-0013 adressiert wurden.“ Interne Mitteilungen von Broadcom zeigen laut dem Bericht von „The Register“, dass auch Support-Mitarbeiter davon ausgehen, dass „die jüngsten Änderungen an unserem Support-Portal im Zusammenhang mit der Überprüfung von Berechtigungen zu Verzögerungen bei der Bereitstellung von Patches für Kunden mit abgelaufenen Berechtigungen führen werden“. „Grenzen akzeptablen Anbieterverhaltens überschritten“ Broadcoms Entscheidung, den Patch-Zugang einzuschränken, hat die Grenzen akzeptablen Anbieterverhaltens neu gezogen“, erklärt Sanchit Vir Gogia, Chefanalyst und CEO von Greyhound Research. „Es geht hier nicht nur um eine Patch-Politik – es geht um eine grundsätzliche Verschiebung der Softwarebesitz-Normen: weg von Dauerhaftigkeit, hin zu Bedingtheit.“ „In einer Zeit, in der verzögerte Fehlerbehebungen zu Sicherheitslücken oder Compliance-Verstößen führen können, muss das Recht auf Patches vom Abo-Status entkoppelt werden“, so Gogia. CISOs müssten den Zugang zu Sicherheits-Patches jetzt als strategische Vertrauensfrage auf Vorstandsebene behandeln, fügt er hinzu. Strategische Implikationen für IT-Führungskräfte Die Situation rund um VMware zwingt IT-Teams in Unternehmen dazu, ihre Abhängigkeiten von Virtualisierungs-Technologien und ihre Risikobereitschaft neu zu bewerten. Organisationen müssen prüfen, welche Sicherheitsrisiken entstehen, wenn kritische Patches mit bis zu 90 Tagen Verzögerung bereitgestellt werden. „Unternehmen dürfen nicht länger davon ausgehen, dass eine unbefristete Lizenz langfristig den Zugang zu Updates oder Support garantiert“, rät Gogia und fügt hinzu: „Stattdessen sollten sie Schutzklauseln in Verträge aufnehmen, darunter Patch-Rechte mit Treuhand-Absicherung (Escrow) und verbindliche Vereinbarungen zur Betriebskontinuität.“ Auch Naveen Chhabra, Principal Analyst bei Forrester, betont die Notwendigkeit konkreter Risikokontrollen: „Man braucht Transparenz darüber, wie schnell der Anbieter Sicherheits-Updates veröffentlicht. Gibt es eine Sperrfrist?“, fragt er. „Stellen Sie sich vor, VMware sagt aus Höflichkeit „Ja“ zur Bereitstellung von Sicherheits-Patches, veröffentlicht diese jedoch erst nach 90 Tagen, wodurch Ihr Unternehmen angreifbar bleibt.“ Neil Shah, Vice President Research und Gründer von Counterpoint Research, empfiehlt IT-Verantwortlichen, vertragliche Schutzmechanismen zu etablieren, um Risiken im Fall von Übernahmen, Insolvenzen oder SLA-Verletzungen zu adressieren – einschließlich Sonderklauseln für Nachverhandlungen oder Entschädigungen sowie verlängerten Support für kritische Software. Zudem rät er, mit Aufsichtsbehörden zusammenzuarbeiten, um regulatorische Schutzrahmen zu schaffen, die solche Risiken künftig besser abfedern können. (mb)
Broadcom blockiert Patches für VMware-Altkunden Gewollt oder ungewollt macht Broadcom VMware-Kunden mit unbefristeten Lizenzen das Leben weiter schwer.Broadcom Laut einem Bericht wird VMware-Kunden mit unbefristeten Lizenzen, deren Support-Vertrag abgelaufen ist, der Zugriff auf kritische Sicherheits-Patches über das Support-Portal von Broadcom verweigert. Betroffene Lizenzinhaber berichten, dass sie keine Patches herunterladen können. Support-Mitarbeiter von VMware hätten laut einem Bericht von „The Register“ darauf hingewiesen, dass es bis zu 90 Tage dauern kann, bis Sicherheits-Updates über alternative Kanäle verfügbar sind. Diese Zugangsbeschränkungen stellen ein unmittelbares Sicherheitsrisiko für Unternehmen dar – besonders, da VMware im Jahr 2025 bereits mehrere kritische Sicherheitshinweise veröffentlicht hat, die ESXi, Workstation und Fusion betreffen. Diese Schwachstellen ermöglichen es Angreifern, mit Admin-Rechten auf virtuelle Maschinen zuzugreifen und Code auf Host-Systemen auszuführen. Kein Zugang trotz Zusagen des CEO Ein VMware-Sprecher bestätigte in dem Bericht die Zugriffsbeschränkung und erklärte: „Da unser Support-Portal eine Überprüfung der Kundenberechtigungen für Software-Patches erfordert, haben derzeit nur berechtigte Kunden Zugriff auf die Patches.“ Es werde jedoch zu einem späteren Zeitpunkt einen separaten Patch-Lieferzyklus für nicht berechtigte Kunden geben. Ein konkreter Zeitrahmen wurde jedoch nicht genannt. „An der Verpflichtung von Broadcom hinsichtlich kritischer VMware-Sicherheitsupdates hat sich nichts geändert“, fügte Broadcom in einer per Email an Network World übermittelten Erklärung hinzu. „Nutzer von älteren VMware-Produkten ohne aktive Wartungs- und Support-Verträge erhalten weiterhin kostenlosen Zugang zu kritischen Sicherheits-Patches – solange diese Produkte von Broadcom unterstützt werden. Dies schließt auch die Patches für kritische Schwachstellen ein, die im VMware Security Advisory 2025-0013 adressiert wurden.“ Interne Mitteilungen von Broadcom zeigen laut dem Bericht von „The Register“, dass auch Support-Mitarbeiter davon ausgehen, dass „die jüngsten Änderungen an unserem Support-Portal im Zusammenhang mit der Überprüfung von Berechtigungen zu Verzögerungen bei der Bereitstellung von Patches für Kunden mit abgelaufenen Berechtigungen führen werden“. „Grenzen akzeptablen Anbieterverhaltens überschritten“ Broadcoms Entscheidung, den Patch-Zugang einzuschränken, hat die Grenzen akzeptablen Anbieterverhaltens neu gezogen“, erklärt Sanchit Vir Gogia, Chefanalyst und CEO von Greyhound Research. „Es geht hier nicht nur um eine Patch-Politik – es geht um eine grundsätzliche Verschiebung der Softwarebesitz-Normen: weg von Dauerhaftigkeit, hin zu Bedingtheit.“ „In einer Zeit, in der verzögerte Fehlerbehebungen zu Sicherheitslücken oder Compliance-Verstößen führen können, muss das Recht auf Patches vom Abo-Status entkoppelt werden“, so Gogia. CISOs müssten den Zugang zu Sicherheits-Patches jetzt als strategische Vertrauensfrage auf Vorstandsebene behandeln, fügt er hinzu. Strategische Implikationen für IT-Führungskräfte Die Situation rund um VMware zwingt IT-Teams in Unternehmen dazu, ihre Abhängigkeiten von Virtualisierungs-Technologien und ihre Risikobereitschaft neu zu bewerten. Organisationen müssen prüfen, welche Sicherheitsrisiken entstehen, wenn kritische Patches mit bis zu 90 Tagen Verzögerung bereitgestellt werden. „Unternehmen dürfen nicht länger davon ausgehen, dass eine unbefristete Lizenz langfristig den Zugang zu Updates oder Support garantiert“, rät Gogia und fügt hinzu: „Stattdessen sollten sie Schutzklauseln in Verträge aufnehmen, darunter Patch-Rechte mit Treuhand-Absicherung (Escrow) und verbindliche Vereinbarungen zur Betriebskontinuität.“ Auch Naveen Chhabra, Principal Analyst bei Forrester, betont die Notwendigkeit konkreter Risikokontrollen: „Man braucht Transparenz darüber, wie schnell der Anbieter Sicherheits-Updates veröffentlicht. Gibt es eine Sperrfrist?“, fragt er. „Stellen Sie sich vor, VMware sagt aus Höflichkeit „Ja“ zur Bereitstellung von Sicherheits-Patches, veröffentlicht diese jedoch erst nach 90 Tagen, wodurch Ihr Unternehmen angreifbar bleibt.“ Neil Shah, Vice President Research und Gründer von Counterpoint Research, empfiehlt IT-Verantwortlichen, vertragliche Schutzmechanismen zu etablieren, um Risiken im Fall von Übernahmen, Insolvenzen oder SLA-Verletzungen zu adressieren – einschließlich Sonderklauseln für Nachverhandlungen oder Entschädigungen sowie verlängerten Support für kritische Software. Zudem rät er, mit Aufsichtsbehörden zusammenzuarbeiten, um regulatorische Schutzrahmen zu schaffen, die solche Risiken künftig besser abfedern können. (mb)