In VMwares Horizon View, Unified Access Gateway und Workstation existieren in diversen Versionen einige als kritisch eingestufte Schwachstellen, welche sieben CVE-Nummern zugeteilt sind. Aus einer offiziellen Sicherheitswarnung geht dies hervor.

Wird eine dieser Anwendungen eingesetzt, sollten zügig die abgesicherten Ausgaben davon installiert werden. Das von den Sicherheitslücken ausgehende Risiko stuft das Notfall-Team des BSI CERT Bund als "sehr hoch" ein.

Geräte sollen aus der Ferne von unautorisierten Angreifern mittels Dos-Attacken lahmgelegt werden können. Zudem sollen sie auch Schadcoe ausführen können. Es kommt beim Ausnutzen der Lücken zu Speicherfehlern (heap buffer-overflow , out-of-bounds, integer overflow) und Angreifer sind so in der Lage, ganze Systeme zu kompromittieren. Als Beispiel kann ein Übergriff mittels manipuliertem JPEG2000-Bild und TrueType Font eingeleitet werden.

Für alle Betriebssysteme sind die Versionsstränge 2.5.x, 2.7.x und 2.8.x des Unified Access Gateway gefährdet. Nicht bedroht sollen die Ausgaben mit einer 2.9.x-Kennung sein und in der Version 2.8.1 sind die Lücken geschlossen.

Laut VMware sind Nutzer von Horizon View (6.x und 7.x, alle Betriebssysteme) nur gefährdet, wenn sie die Funktion für virtuelle Drucker aktiviert haben. In diesem Fall sollten Nutzer die fehlerbereinigten Ausgaben 6.2.4 oder 7.1.0 nutzen.

Weiterhin stellt VMware die abgesicherten Version 4.4.0 und 12.5.3 vom Horizon View Client und Workstation 12.3.5 für Windows zum Herunterladen bereit. In der Sicherheitswarnung gibt es Links zu den Downloads.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE