VMware Fusion: Update stopft Rechteausweitungslücke
Broadcom schließt mit einem Update eine Sicherheitslücke in VMware Fusion. Angreifer können ihre Rechte dadurch ausweiten.
Sicherheitslücken in VMware-Produkten gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Broadcom warnt vor einer Sicherheitslücke in VMware Fusion, der Hypervisor-Software für macOS. "Das VMware Fusion-Update geht eine Code-Ausführungs-Sicherheitslücke an", erklärt der neue Besitzer der Software.
Tief in die Details gehen die VMware-Entwickler in ihrer Sicherheitsmitteilung jedoch nicht. "VMware Fusion enthält eine Code-Ausführungs-Schwachstelle aufgrund der Nutzung einer unsicheren Umgebungsvariable", beschreiben die Autoren das Problem. Die Sicherheitslücke hat die CVE-Nummer CVE-2024-38811 erhalten und stellt mit einem CVSS-Wert von 8.8 ein hohes Risiko dar.
Möglicher Angriffsvektor
Weiter erklären die Programmierer, dass bösartige Akteure mit Standard-Nutzerrechten die Sicherheitslücke missbrauchen könnten, um Code im Kontext der Fusion-Anwendung laufen zu lassen. Temporäre Gegenmaßnahmen schlägt Broadcom nicht vor, lediglich ein Update der Software helfe gegen den Missbrauch der Schwachstelle. Wie sich ein erfolgreicher Angriff erkennen lasse, damit Betroffene angemessen reagieren können, lässt Broadcom ebenfalls offen.
Die Sicherheitslücke betrifft VMware Fusion in den 13.x-Versionen. VMware Fusion 13.6 bessert die Schwachstelle aus. Die neue Fassung steht nach der Anmeldung auf der Download-Seite von Broadcom zum Herunterladen bereit.
Da die Lücke nur knapp am Risiko "kritisch" vorbeischrammt, sollten IT-Verantwortliche die VMware-Fusion-Installationen in ihren Bereichen auf den aktuellen Stand hieven. VMware-Lücken stehen oftmals im Fokus von Cyberkriminellen.
Ende Juli wurden Ransomware-Angriffe auf VMware ESXi-Server bekannt. Die von Microsofts IT-Forschern untersuchten Angriffe gingen gegen eine Sicherheitslücke zurück, durch die Angreifer die Authentifizierung in der Active-Directory-Integration umgehen und so missbrauchen konnten (CVE-2024-37085, CVSS 6.8, Risiko "mittel"). Die Version VMware ESXi 8.0 U3 hat das Sicherheitsleck geschlossen, ältere Versionen hat Broadcom nicht mit einem Update bedacht.
(dmk)