Virtualisierung: Update schließt Lücke in VMware Player und Workstation

Eine Sicherheitslücke betrifft die beliebten Virtualisierungsprogramme VMware Player und Workstation. Angreifer können darüber Code auf dem Hostsystem ausführen, was sie recht kritisch macht. Das von VMware verteilte Update sollte schnell installiert werden.

Artikel veröffentlicht am ,
Über nicht initialisierten Speicher kann Code ausgeführt werden.
Über nicht initialisierten Speicher kann Code ausgeführt werden. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Das Softwareunternehmen hat Details zu einer Sicherheitslücke in seinen Vitualisierungsprogrammen VMware Player, Workstation und ESXi entdeckt. CVE-2018-6981 ermöglicht die Ausführung von Code auf dem Hostsystem durch die virtuelle Maschine. Die Lücke wird vom Unternehmen als kritisch angesehen. Eine zweite Sicherheitslücke mit ähnlicher Beschreibung namens CVE-2018-6982 betrifft nur den Enterprise-Hypervisor ESXi. Der Hersteller stellt entsprechende Updates bereit, die die Fehler beheben.

Stellenmarkt
  1. Digital Solutions Manager (m/w/d)
    P.E.G. Einkaufs- und Betriebsgenossenschaft eG, München
  2. Senior Projektleiter (d/m/w)
    NÜRNBERGER Versicherung, Nürnberg
Detailsuche

Beide Sicherheitslücken nutzen eine uninitialisierte Speicherstelle aus, die der virtuelle Netzwerkadapter Vmxnet3 verwendet. Die alle genannten Produkte betreffende Schwachstelle ermöglicht darüber eine Codeausführung, während die zweite Sicherheitslücke lediglich Informationen im Speicher preisgeben kann. Ist Vmxnet3 auf VMs nicht aktiviert, können die Fehler nicht ausgenutzt werden, meint VMware.

Update schnell installieren

Zudem müssen Angreifer theoretisch zuerst die virtuelle Maschine kompromittieren, etwa durch die Installation von Schadsoftware. Verschiedene Befehle auf dem Host ausführen zu können, ermöglicht Angreifern dafür ein hohes Schadenspotenzial. So können diese auf mehrere auf der Hardware laufende virtuelle Maschinen abzielen.

Die Versionen 15.01 und 14.1.4 beheben die Lücke für VMware Workstation 15 und 14. Außerdem gibt es den Patch 11.0.1 und 10.1.4 für VMware Fusion. ESXi 6.7 und 6.5 sind ebenfalls betroffen und sollten mit den Patches ESXi670-201811401-BG und ESXi650-201811301-BG aktualisiert werden. Letztere Pakete beheben zudem beide Sicherheitslücken für das Enterprise-Produkt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kubernetes-Kontrollcenter
Mit YTT-Templates Kubernetes-Cluster besser verwalten

Wir zeigen, wie man mit zentraler und automatisierter YAML-Generierung Hunderte Microservices spielend verwalten kann.
Eine Anleitung von Jochen R. Meyer

Kubernetes-Kontrollcenter: Mit YTT-Templates Kubernetes-Cluster besser verwalten
Artikel
  1. LG HU915QE: Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung
    LG HU915QE
    Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung

    LG hat einen Kurzdistanzprojektor mit Lasertechnik vorgestellt. Der HU915QE erzeugt ein riesiges Bild und steht dabei fast an der Wand.

  2. Mendocino: Verbesserter Steam-Deck-Chip erscheint für Laptops
    Mendocino
    Verbesserter Steam-Deck-Chip erscheint für Laptops

    Computex 2022 Mit dem Mendocino-SoC plant AMD eine Kombination aus Zen-2-Quadcore und integrierter RDNA2-Grafik für günstige Ryzen-Notebooks.

  3. Verkaufsstart des 9-Euro-Tickets: Was Fahrgäste wissen müssen
    Verkaufsstart des 9-Euro-Tickets
    Was Fahrgäste wissen müssen

    Das 9-Euro-Ticket für den ÖPNV ist beschlossene Sache, Verkehrsverbünde und -unternehmen sehen sich auf den Verkaufsstart in diesen Tagen gut vorbereitet. Doch es gibt viele offene Fragen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. AMD Ryzen 9 5950X 488€, MSI RTX 3090 Gaming X Trio 1.799€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /