Virtualisierung: Update schließt Lücke in VMware Player und Workstation

Eine Sicherheitslücke betrifft die beliebten Virtualisierungsprogramme VMware Player und Workstation. Angreifer können darüber Code auf dem Hostsystem ausführen, was sie recht kritisch macht. Das von VMware verteilte Update sollte schnell installiert werden.

Artikel veröffentlicht am ,
Über nicht initialisierten Speicher kann Code ausgeführt werden.
Über nicht initialisierten Speicher kann Code ausgeführt werden. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Das Softwareunternehmen hat Details zu einer Sicherheitslücke in seinen Vitualisierungsprogrammen VMware Player, Workstation und ESXi entdeckt. CVE-2018-6981 ermöglicht die Ausführung von Code auf dem Hostsystem durch die virtuelle Maschine. Die Lücke wird vom Unternehmen als kritisch angesehen. Eine zweite Sicherheitslücke mit ähnlicher Beschreibung namens CVE-2018-6982 betrifft nur den Enterprise-Hypervisor ESXi. Der Hersteller stellt entsprechende Updates bereit, die die Fehler beheben.

Stellenmarkt
  1. Softwareentwickler:in Kfz-Versicherung
    HUK-COBURG Versicherungsgruppe, Coburg
  2. Trainer (m/w/d) - Android App Entwickler / Developer
    WBS GRUPPE, deutschlandweit (Home-Office)
Detailsuche

Beide Sicherheitslücken nutzen eine uninitialisierte Speicherstelle aus, die der virtuelle Netzwerkadapter Vmxnet3 verwendet. Die alle genannten Produkte betreffende Schwachstelle ermöglicht darüber eine Codeausführung, während die zweite Sicherheitslücke lediglich Informationen im Speicher preisgeben kann. Ist Vmxnet3 auf VMs nicht aktiviert, können die Fehler nicht ausgenutzt werden, meint VMware.

Update schnell installieren

Zudem müssen Angreifer theoretisch zuerst die virtuelle Maschine kompromittieren, etwa durch die Installation von Schadsoftware. Verschiedene Befehle auf dem Host ausführen zu können, ermöglicht Angreifern dafür ein hohes Schadenspotenzial. So können diese auf mehrere auf der Hardware laufende virtuelle Maschinen abzielen.

Die Versionen 15.01 und 14.1.4 beheben die Lücke für VMware Workstation 15 und 14. Außerdem gibt es den Patch 11.0.1 und 10.1.4 für VMware Fusion. ESXi 6.7 und 6.5 sind ebenfalls betroffen und sollten mit den Patches ESXi670-201811401-BG und ESXi650-201811301-BG aktualisiert werden. Letztere Pakete beheben zudem beide Sicherheitslücken für das Enterprise-Produkt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Betriebssysteme
Warum Microsoft nie auf Linux umsteigen wird

Die Integration von Linux in Windows fördert Spekulationen um ein zukünftiges Windows nur mit Linux-Kernel. Realistisch ist dieses Szenario aber wohl nicht.
Eine Analyse von Boris Mayer

Betriebssysteme: Warum Microsoft nie auf Linux umsteigen wird
Artikel
  1. Darknet-Gesetz: Kein Straftatbestand für Provider illegaler Marktplätze
    Darknet-Gesetz
    Kein Straftatbestand für Provider illegaler Marktplätze

    Es gibt nun doch keine eigene Cyberbunker-Klausel im Strafgesetzbuch. Eine Verurteilung wegen Beihilfe an illegalen Marktplätzen ist aber möglich.

  2. Der Nachfolger von Windows 10: Windows 11 ist da
    Der Nachfolger von Windows 10
    Windows 11 ist da

    Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

  3. Western Digital: Cloud-Laufwerken droht Datenlöschung durch Malware
    Western Digital
    Cloud-Laufwerken droht Datenlöschung durch Malware

    Western Digital fordert Kunden auf, My-Book-Live-Laufwerke umgehend vom Internet zu trennen, um einen kompletten Datenverlust zu vermeiden.

Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /