Kritische Lücken: VMware sichert Anwendungen gegenüber Schadcode ab
Sicherheitsupdates schließen mehrere Schwachstellen in verschiedenen VMware-Anwendungen zum Umgang mit virtuellen Maschinen und für den Fernzugriff. Davon sind alle Betriebssysteme betroffen.
In diversen Versionen von Horizon View, Unified Access Gateway und Workstation von VMware klaffen einige als kritisch eingestufte Schwachstellen, die sieben CVE-Nummern zugeteilt sind. Das geht aus einer offiziellen Sicherheitswarnung hervor.
Wer eine der Anwendungen einsetzt, sollte zügig die abgesicherte Ausgabe installieren. Das Notfall-Team des BSI CERT Bund stuft das von den Sicherheitslücken ausgehende Risiko als "sehr hoch" ein.
Unautorisierte Angreifer sollen aus der Ferne Geräte nicht nur per DoS-Attacke lahmlegen, sondern auch Schadcode ausführen können. Beim Ausnutzen der Lücken kommt es zu Speicherfehlern (heap buffer-overflow , out-of-bounds, integer overflow) und letztlich könnten Angreifer ganze Systeme kompromittieren. Ein Übergriff kann zum Beispiel mittels manipuliertem JPEG2000-Bild und TrueType Font eingeleitet werden.
Verschiedene Versionen, alle Betriebssysteme betroffen
Gefährdet sind die Versionsstränge 2.5.x, 2.7.x und 2.8.x des Unified Access Gateway für alle Betriebssysteme. Ausgaben mit einer 2.9.x-Kennung sollen nicht bedroht sein. In der Version 2.8.1 sind die Lücken geschlossen.
Nutzer von Horizon View (6.x und 7.x, alle Betriebssysteme) sind VMware zufolge nur gefährdet, wenn sie die Funktion für virtuelle Drucker aktiviert haben. Ist das der Fall, sollte man nach den fehlerbereinigten Ausgaben 6.2.4 und 7.1.0 Ausschau halten.
Zusätzlich stellt VMware noch die absicherten Version 4.4.0 und 12.5.3 vom Horizon View Client und Workstation 12.5.3 für Windows zum Herunterladen bereit. Links zu den Downloads finden sich in der Sicherheitswarnung.
[UPDATE, 26.04.2017 15:15 Uhr]
Abgesicherte Ausgabe von VMware Workstation für Windows im Fließtext eingefügt. (des)