• IT-Karriere:
  • Services:

Virtualisierung: Update schließt Lücke in VMware Player und Workstation

Eine Sicherheitslücke betrifft die beliebten Virtualisierungsprogramme VMware Player und Workstation. Angreifer können darüber Code auf dem Hostsystem ausführen, was sie recht kritisch macht. Das von VMware verteilte Update sollte schnell installiert werden.

Artikel veröffentlicht am ,
Über nicht initialisierten Speicher kann Code ausgeführt werden.
Über nicht initialisierten Speicher kann Code ausgeführt werden. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Das Softwareunternehmen hat Details zu einer Sicherheitslücke in seinen Vitualisierungsprogrammen VMware Player, Workstation und ESXi entdeckt. CVE-2018-6981 ermöglicht die Ausführung von Code auf dem Hostsystem durch die virtuelle Maschine. Die Lücke wird vom Unternehmen als kritisch angesehen. Eine zweite Sicherheitslücke mit ähnlicher Beschreibung namens CVE-2018-6982 betrifft nur den Enterprise-Hypervisor ESXi. Der Hersteller stellt entsprechende Updates bereit, die die Fehler beheben.

Stellenmarkt
  1. Conditorei Coppenrath & Wiese KG, Mettingen
  2. m3connect GmbH, Aachen

Beide Sicherheitslücken nutzen eine uninitialisierte Speicherstelle aus, die der virtuelle Netzwerkadapter Vmxnet3 verwendet. Die alle genannten Produkte betreffende Schwachstelle ermöglicht darüber eine Codeausführung, während die zweite Sicherheitslücke lediglich Informationen im Speicher preisgeben kann. Ist Vmxnet3 auf VMs nicht aktiviert, können die Fehler nicht ausgenutzt werden, meint VMware.

Update schnell installieren

Zudem müssen Angreifer theoretisch zuerst die virtuelle Maschine kompromittieren, etwa durch die Installation von Schadsoftware. Verschiedene Befehle auf dem Host ausführen zu können, ermöglicht Angreifern dafür ein hohes Schadenspotenzial. So können diese auf mehrere auf der Hardware laufende virtuelle Maschinen abzielen.

Die Versionen 15.01 und 14.1.4 beheben die Lücke für VMware Workstation 15 und 14. Außerdem gibt es den Patch 11.0.1 und 10.1.4 für VMware Fusion. ESXi 6.7 und 6.5 sind ebenfalls betroffen und sollten mit den Patches ESXi670-201811401-BG und ESXi650-201811301-BG aktualisiert werden. Letztere Pakete beheben zudem beide Sicherheitslücken für das Enterprise-Produkt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,87€
  2. 15,99€
  3. 27,99€

Folgen Sie uns
       


Keyboardio Atreus im Test: Die Tastatur für platzbewusste Ergonomiker
Keyboardio Atreus im Test
Die Tastatur für platzbewusste Ergonomiker

Eine extreme Tastatur für besondere Geschmäcker: Die Atreus von Keyboardio ist äußerst gewöhnungsbedürftig, belohnt aber mit angenehmem Tippgefühl.
Ein Test von Tobias Költzsch

  1. HyperX x Ducky One 2 Mini im Test Kompakt, leuchtstark, limitiert
  2. Nemeio Tastatur mit E-Paper-Tasten ist finanziert
  3. Everest Max im Test Mehr kann man von einer Tastatur nicht wollen

Pixel 4a 5G im Test: Das alternative Pixel 5 XL
Pixel 4a 5G im Test
Das alternative Pixel 5 XL

2020 gibt es kein Pixel 5 XL - oder etwa doch? Das Pixel 4a 5G ist größer als das Pixel 5, die grundlegende Hardware ist ähnlich bis gleich. Das Smartphone bietet trotz Abstrichen eine Menge.
Ein Test von Tobias Költzsch

  1. Schnelle Webseiten Google will AMP-Seiten nicht mehr bevorzugen
  2. Digitale-Dienste-Gesetz Will die EU-Kommission doch keine Konzerne zerschlagen?
  3. Google Fotos Kein unbegrenzter Fotospeicher für neue Pixel

Boothole: Kein Plan, keine Sicherheit
Boothole
Kein Plan, keine Sicherheit

Völlig vorhersehbare Fehler mit UEFI Secure Boot führen vermutlich noch auf Jahre zu Problemen. Vertrauen in die Technik weckt das nicht.
Ein IMHO von Sebastian Grüner


      •  /