Menü
Alert!
Security

VMware: Über Sicherheitslücke Code im Gast-System ausführbar

Verschiedene Anwendungen von VMware für den Umgang mit virtuellen Maschinen sind verwundbar. Sicherheits-Patches stehen bereit.

Von
vorlesen Drucken Kommentare lesen 3 Beiträge
VMware: Über Sicherheitslücke Code im Gast-System ausführen

In den Virtualisierungs-Produkten ESXi, Fusion, Player, Tools und Workstation von VMware klaffen zwei Schwachstellen. Davon sind verschiedene Versionen für Linux, OS X und Windows betroffen. Das Notfallteam des BSI zeigt die betroffenen Versionen in einer Sicherheits-Warnung auf. Sie stufen das von einer Lücke ausgehende Risiko als hoch ein. VMware hat bereits reagiert und stellt abgesicherte Versionen zum Download bereit.

Eine der Schwachstellen (CVE-2016-5330) betrifft Windows-Gast-Systeme. Um einen Übergriff einzuleiten, müssen Angreifer Opfer dazu bringen, ein manipuliertes Dokument zu öffnen. Anschließend könnten Angreifer aus einem benachbarten Netzwerk mit den Rechten des Nutzers auf dem Gast-System eigenen Code ausführen.

Wer ein ESXi-System auf den neuesten Stand gebracht hat, muss auch die VMware-Tools auf jedem Windows-Gast-System aktualisieren, auf denen das Shared-Folder-Feature läuft.

Über eine weitere Schwachstelle (CVE-2016-5331) in ESXi und vCenter Server könnten Angreifer XSS-Attacken ausführen und Opfer auf Webseiten umleiten. (des)