Sicherheitslücke: VMware Fusion und Workstation können sich an Copy & Paste verschlucken
Nutzen Angreifer eine kritische Sicherheitslücke in den VM-Anwendungen aus, sollen sie Schadcode auf Host-Systemen ausführen können.
![Thyssenkrupp](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/1/6/2/3/2/1/urn-newsml-dpa-com-20090101-161208-99-469965_large_4_3-485499c831e547cc.jpeg)
(Bild: dpa, Silas Stein)
Die VMware-Anwendungen Fusion und Workstation für den Umgang mit virtuellen Maschinen sind verwundbar. In ESXi klafft die Sicherheitslücke (CVE-2017-4901) nicht. Das CERT Bund stuft das Angriffsrisiko mir "sehr hoch" ein.
Unter Linux und Windows ist der 12.x-Versionsstrang von Workstation Player und Pro bedroht. Abhilfe schafft die abgesicherte Ausgabe 12.5.4. MacOSX-Nutzer sollten die Version 8.5.5 installieren. Alle vorigen 8.x-Ausgaben sind VMware zufolge betroffen.
Die Schwachstelle findet sich in der Copy-&-Paste-Umsetzung. Nutzen Angreifer die Lücke aus, kommt es zu einem Speicherfehler (out-of-bounds) und sie können unter Umständen mit den aktuellen Nutzerrechten Schadcode auf dem Host-System ausführen. Wie das im Detail funktioniert, führt VMware nicht aus.
Als Alternative zur Installation der abgesicherten Versionen können Nutzer von Fusion und Workstation Pro die Copy-&-Paste-Funktion deaktivieren, um sich zu schützen. (des)