VMware dichtet hochriskante Lecks in Aria, Fusion und Workstation ab
VMware hat Updates für VMware Aria Operations for Logs, VMware Fusion sowie VMware Workstation veröffentlicht. Sie schließen teils hochriskante Lücken.
(Bild: JLStock/Shutterstock.com)
VMware hat zwei Sicherheitsmeldungen herausgegeben, in denen das Unternehmen vor Sicherheitslücken warnt, die zum Teil als hohes Risiko eingestuft sind. Betroffen sind VMware Aria Operations for Logs, VMware Fusion und VMware Workstation. Aktualisierte Software zum Schließen der Sicherheitslücken stehen bereit.
IN VMware Aria Operations for Logs können nicht authentifizierte Angreifer Dateien ins Betriebssystem von betroffenen Appliances einschleusen, was in die Ausführung von eingeschleustem Code mündet (CVE-2023-34051, CVSS 8.1, Risiko "hoch"). Zudem können bösartige Akteure mit nicht-administrativen Rechten die Deserialisierung von Daten anstoßen, wodurch das Umgehen der Authentifizierung möglich ist (CVE-2023-34052, CVSS 8.1, hoch). Betroffen sind laut der Sicherheitsmeldung etwa VMware Cloud Foundation (VMware Aria Operations for Logs) 4.x und 5.x, wofür VMware eine eigene Anleitung für Gegenmaßnahmen zusammengestellt hat. Das Update auf VMware Aria Operations for Logs 8.14 bessert die Schwachstellen im 8.x-Versionsbaum aus.
VMware: Mehrer lückenhafte Produkte
In VMware Fusion und Workstation Player sowie Pro finden sich hingegen drei Schwachstellen. In den Funktionen zum Teilen von Bluetooth-Geräten mit virtuellen Maschinen können Angreifer außerhalb vorgesehener Speichergrenzen lesend zugreifen. Bösartige Akteure mit lokalen Administratorrechten in der VM können dadurch privilegierte Informationen aus dem Hypervisor-Speicherbereich auslesen (CVE-2023-34044, CVSS 7.1, hoch). VMware Workstation 17.5 sowie Fusion 13.5 lösen das Problem.
Zudem listet VMware in der Sicherheitsmeldung zwei weitere Lecks, die ausschließlich VMware Fusion betreffen. Bösartige Nutzer ohne Administratorrechte können ihre Rechte auf root auf dem Hostsystem ausweiten, da bei der Erstinstallation oder bei einem Update aus einem .dmg-Image eine Prüfung einen Time-of-Check-Time-of-Use-Fehler (TOCTOU) enthält. Der kann auftreten, wenn Angreifer die App aus dem .dmg-Abbild herausziehen oder es kopieren, anstatt es per Doppelklick zu starten (CVE-2023-34046, CVSS 6.7, mittel). Eine weitere Lücke erlaubt auf ähnliche Weise die Ausweitung der Rechte (CVE-2023-34045, CVSS 6.6, mittel). Auch diese Fehler korrigiert das Update auf VMware Fusion 13.5.
Anfang September erschien Proof-of-Concept-Code, der das Ausnutzen einer VMware-Aria-Lücke demonstrierte, für die eine Woche zuvor ein Sicherheitsflicken erschien.
(dmk)
