Zu zwei Schwachstellen in älteren Versionen der Virtualisierungsplattformen ESXi, Workstation Pro und Player (Windows, Linux) sowie Fusion und Fusion Pro (macOS) hat VMWare einen Sicherheitshinweis veröffentlicht. Von der jeweiligen Software-Version hängt die von ihnen ausgehende Gefahr ab und reicht von "Medium" (CVSS-v3-Score 6.3) bis "High" (CVSS-v3-Score 7.7 / 8.5). Nach Anraten des Herstellers sollte die Software zeitnah aktualisiert werden.

Laut VMWares Security Advisory sind beide Schwachstellen nur bei aktivierter 3D-Grafik ausnutzbar und betreffen die Pixel-Shader-Komponente der Software-Produkte.

Ein Exploit der (gefährlicheren) Schwachstelle CVE-2019-5684 setzt zusätzlich voraus, dass im Zielsystem eine NVIDIA-Grafikkarte der GeForce-, Quadro-, NVS- oder Tesla-Serie mit entsprechend verwundbarem Treiber läuft. Bereits im Mai hat der Grafikkartenhersteller dafür Aktualisierungen veröffentlicht. NVIDIAs Security Bulletin liefert eine detaillierte Übersicht über die Patches.

Laut Security Advisory sind für die Schwachstellen die Versionsreihen VMWare ESXi 6.5 und 6.7, Workstation 14.x und 15.x und Fusion 10.x und 11.x anfällig. Für ESXi 6.5 und 6.7 mit den Updates ESXi650-201903001 und ESXi670-201904101-SG, ab den Versionen 14.1.6 und 15.0.3 für Workstation und 10.1.6 und 11.0.3 für Fusion wurden diese behoben.

Auf VMWares Advisory sind die versionsabhängigen Gefahreneinstufungen und Download-Links zu Updates und Release Notes zu entnehmen.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE