Zwei Schwachstellen klaffen in den Virtualisierungs-Produkten Fusion, ESXi, Player, Tools und Workstation von VMware. Verschiedene Versionen für Linux, Windows und OS X sind davon betroffen.

In einer Sicherheits-Warnung zeigt das Notfallteam des BSI die betroffenen Versionen auf und stufen das von einer Lücke ausgehende Risiko als hoch ein. VMware hat bereits mit abgesicherten Versionen, die zum Download bereitstehen, reagiert.

Die Schwachstelle CVE-2016-5330 betrifft Windows-Gast-Systeme und Angreifer können einen Übergriff einleiten, sofern sie ein Opfer dazu bringen, ein manipuliertes Dokument zu öffnen. Aus einem benachbarten Netzwerk könnten Angreifer dann mit den Rechten des Nutzers auf dem Gast-System eigenen Code ausführen.

Wurde ein ESXi-System auf den neuesten Stand gebracht, müssen auch die VMware-Tools auf jedem Windows-Gast-System, auf denen das Shared-Folder-Feature läuft, aktualisiert werden.

Angreifer könnten über eine weitere Schwachstelle CVE-2016-5331 in ESXi und vCenter Server XSS-Attacken ausführen und Opfer auf Webseiten umleiten.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE