Sicherheitslücke: VMware Fusion und Workstation können sich an Copy & Paste verschlucken
Nutzen Angreifer eine kritische Sicherheitslücke in den VM-Anwendungen aus, sollen sie Schadcode auf Host-Systemen ausführen können.
(Bild: dpa, Silas Stein)
Die VMware-Anwendungen Fusion und Workstation für den Umgang mit virtuellen Maschinen sind verwundbar. In ESXi klafft die Sicherheitslücke (CVE-2017-4901) nicht. Das CERT Bund stuft das Angriffsrisiko mir "sehr hoch" ein.
Unter Linux und Windows ist der 12.x-Versionsstrang von Workstation Player und Pro bedroht. Abhilfe schafft die abgesicherte Ausgabe 12.5.4. MacOSX-Nutzer sollten die Version 8.5.5 installieren. Alle vorigen 8.x-Ausgaben sind VMware zufolge betroffen.
Die Schwachstelle findet sich in der Copy-&-Paste-Umsetzung. Nutzen Angreifer die Lücke aus, kommt es zu einem Speicherfehler (out-of-bounds) und sie können unter Umständen mit den aktuellen Nutzerrechten Schadcode auf dem Host-System ausführen. Wie das im Detail funktioniert, führt VMware nicht aus.
Als Alternative zur Installation der abgesicherten Versionen können Nutzer von Fusion und Workstation Pro die Copy-&-Paste-Funktion deaktivieren, um sich zu schützen. (des)
