Abo
  • IT-Karriere:

Virtualisierung: Update schließt Lücke in VMware Player und Workstation

Eine Sicherheitslücke betrifft die beliebten Virtualisierungsprogramme VMware Player und Workstation. Angreifer können darüber Code auf dem Hostsystem ausführen, was sie recht kritisch macht. Das von VMware verteilte Update sollte schnell installiert werden.

Artikel veröffentlicht am ,
Über nicht initialisierten Speicher kann Code ausgeführt werden.
Über nicht initialisierten Speicher kann Code ausgeführt werden. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Das Softwareunternehmen hat Details zu einer Sicherheitslücke in seinen Vitualisierungsprogrammen VMware Player, Workstation und ESXi entdeckt. CVE-2018-6981 ermöglicht die Ausführung von Code auf dem Hostsystem durch die virtuelle Maschine. Die Lücke wird vom Unternehmen als kritisch angesehen. Eine zweite Sicherheitslücke mit ähnlicher Beschreibung namens CVE-2018-6982 betrifft nur den Enterprise-Hypervisor ESXi. Der Hersteller stellt entsprechende Updates bereit, die die Fehler beheben.

Stellenmarkt
  1. BAS Kundenservice GmbH & Co. KG, Berlin
  2. SSI SCHÄFER Automation GmbH, Giebelstadt bei Würzburg, Obertshausen

Beide Sicherheitslücken nutzen eine uninitialisierte Speicherstelle aus, die der virtuelle Netzwerkadapter Vmxnet3 verwendet. Die alle genannten Produkte betreffende Schwachstelle ermöglicht darüber eine Codeausführung, während die zweite Sicherheitslücke lediglich Informationen im Speicher preisgeben kann. Ist Vmxnet3 auf VMs nicht aktiviert, können die Fehler nicht ausgenutzt werden, meint VMware.

Update schnell installieren

Zudem müssen Angreifer theoretisch zuerst die virtuelle Maschine kompromittieren, etwa durch die Installation von Schadsoftware. Verschiedene Befehle auf dem Host ausführen zu können, ermöglicht Angreifern dafür ein hohes Schadenspotenzial. So können diese auf mehrere auf der Hardware laufende virtuelle Maschinen abzielen.

Die Versionen 15.01 und 14.1.4 beheben die Lücke für VMware Workstation 15 und 14. Außerdem gibt es den Patch 11.0.1 und 10.1.4 für VMware Fusion. ESXi 6.7 und 6.5 sind ebenfalls betroffen und sollten mit den Patches ESXi670-201811401-BG und ESXi650-201811301-BG aktualisiert werden. Letztere Pakete beheben zudem beide Sicherheitslücken für das Enterprise-Produkt.



Anzeige
Top-Angebote
  1. (aktuell u. a. Acer One 10 Tablet-PC für 279,00€, Asus Zenforce Handy für 279,00€, Deepcool...
  2. 799,00€ (Bestpreis!)
  3. 1.199,00€
  4. (u. a. Paperwhite 6 Zoll für 89,99€, Der neue Kindle mit integriertem Frontlicht für 59,99€)

Folgen Sie uns
       


Atari Portfolio angesehen

Der Atari Portfolio war einer der ersten Palmtop-Computer der Welt - und ist auch 30 Jahre später noch ein interessanter Teil der Computergeschichte. Golem.de hat sich den Mini-PC im Retrotest angeschaut.

Atari Portfolio angesehen Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

    •  /