Das Softwareunternehmen hat Details zu einer Sicherheitslücke in seinen Vitualisierungsprogrammen VMware Player, Workstation und ESXi entdeckt und veröffentlicht.

Durch eine virtuelle Maschine ermöglicht CVE-2018-6981 die Ausführung von Code auf dem Hostsystem. Die Lücke wird vom Unternehmen als kritisch angesehen. Nur den Enterprise-Hypervisor ESXi betrifft eine zweite Sicherheitslücke mit ähnlicher Beschreibung namens CVE-2018-6982. Der Hersteller stellt entsprechende Updates bereit, die die Fehler beheben.

Eine uninitialisierte Speicherstelle, die der virtuelle Netzwerkadapter Vmxnet3 verwendet, nutzen beide Sicherheitslücken aus. Die Fehler können nicht ausgenutzt werden, wenn Vmxnet3 auf den VMs nicht aktiviert ist, meint VMware. Außerdem müssen Angreifer theoretisch zuerst die virtuelle Maschine kompromittieren, etwa durch die Installation von Schadsoftware.

Die Versionen 15.01 und 14.1.4 beheben die Lücke für VMware Workstation 15 und 14. Zudem gibt es den Patch 11.0.1 und 10.1.4 für VMware Fusion. Weitere betroffene Versionen sind ESXi 6.7 und 6.5, sie sollten mit den Patches ESXi670-201811401-BG und ESXi650-201811301-BG aktualisiert werden. Letztere Pakete beheben zudem beide Sicherheitslücken für das Enterprise-Produkt.

(hv, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE