Aufgrund von zwei Sicherheitslücken könnten Angreifer mit VMware-Software erzeugte virtuelle Maschinen attackieren. Ist eine Attacke erfolgreich könnten Angreifer mit höheren Nutzerrechten dastehen oder sie klinken sich in Verbindungen ein, um zu schnüffeln.

Die Schwachstelle (CVE-20203941) in VMware Tools für Windows ist in einer Warnmeldung als "wichtig" gekennzeichnet. Aufgrund eines Fehlers in der Reparatur-Funktion (race condition) könnten sich Angreifer in einer Windows-VM höhere Rechte aneignen. Davon sind die Versionen 10.x.y betroffen. Da es die Funktion in den Versionen 11.x.y nicht gibt, sind sie nicht bedroht.

Wer die SSL-Pinning-Funktion in Workspace ONE SDK für Android und iOS nutzt, riskiert, dass sich Angreifer als Man-in-the-Middle in Verbindungen einklinken könnten. In dieser Postion könnten sie dann Informationen mitschneiden. Das von der Sicherheitslücke (CVE-20203940) ausgehende Risiko stuft VMware in einer Meldung als "moderat" ein. In dem Beitrag sind die abgesicherten Versionsnummern aufgelistet. (des)