VMware stopft Löcher in seinen Produkten
Unter anderem führt ein Fehler in der CPU-Hardware-Emulation unter Umständen dazu, dass die virtuelle CPU an eine falsche Speicheradresse springt. Der Fehler soll sich zum Erhöhen der Zugriffsrechte ausnutzen lassen.
- Daniel Bachfeld
VMware hat Sicherheits-Updates für das VirtualCenter, VMware Workstation, VMware Player, VMware ACE, VMware Server und VMware ESXi veröffentlicht, um zahlreiche Lücken zu schließen. So führt ein Fehler in der CPU-Hardware-Emulation unter Umständen dazu, dass die virtuelle CPU auf einem 64-Bit-Systeme bei der Verarbeitung eines JMP-Befehls an eine falsche Speicheradresse springt.
Laut Hersteller lässt sich der Fehler zwar nicht ausnutzen, um einen Host zu kompromittieren, immerhin soll ein Angreifer aber auf einem Gast-System an höhere Zugriffsrechte gelangen können. Betroffen sind laut Bericht nur 64-Bit-Windows und 64-Bit-FreeBSD-Gastsysteme. Linux ist nicht betroffen.
Das Update behebt zudem einen Fehler, bei dem Nutzerpasswörter im Klartext lesbar sind und bringt die Java-Version im Virtual Center und VMware ESX und ESXi auf den aktuellen Stand (Java 1.5.0_16). Einzelheiten zu den betroffenen Versionen und welcher Patch welche Lücke schließt, sind dem Original-Fehlerbericht des Herstellers zu entnehmen.
Siehe dazu auch:
- VMSA-2008-0016, Fehlerbericht von VMware
(dab)