VMware: Über Sicherheitslücke Code im Gast-System ausführbar
Verschiedene Anwendungen von VMware für den Umgang mit virtuellen Maschinen sind verwundbar. Sicherheits-Patches stehen bereit.
In den Virtualisierungs-Produkten ESXi, Fusion, Player, Tools und Workstation von VMware klaffen zwei Schwachstellen. Davon sind verschiedene Versionen für Linux, OS X und Windows betroffen. Das Notfallteam des BSI zeigt die betroffenen Versionen in einer Sicherheits-Warnung auf. Sie stufen das von einer Lücke ausgehende Risiko als hoch ein. VMware hat bereits reagiert und stellt abgesicherte Versionen zum Download bereit.
Eine der Schwachstellen (CVE-2016-5330) betrifft Windows-Gast-Systeme. Um einen Übergriff einzuleiten, müssen Angreifer Opfer dazu bringen, ein manipuliertes Dokument zu öffnen. Anschließend könnten Angreifer aus einem benachbarten Netzwerk mit den Rechten des Nutzers auf dem Gast-System eigenen Code ausführen.
Wer ein ESXi-System auf den neuesten Stand gebracht hat, muss auch die VMware-Tools auf jedem Windows-Gast-System aktualisieren, auf denen das Shared-Folder-Feature läuft.
Über eine weitere Schwachstelle (CVE-2016-5331) in ESXi und vCenter Server könnten Angreifer XSS-Attacken ausführen und Opfer auf Webseiten umleiten. (des)
