Angreifer könnten mit VMware-Software erzeugte virtuelle Maschinen aufgrund von zwei Sicherheitslücken attackieren. Bei einer erfolgreichen Attacke könnten sich die Angreifer höhere Nutzerrechte erschleichen oder sie klinken sich in Verbindungen ein, um zu lauschen.

In einer Warnmeldung ist die Schwachstelle (CVE-20203941) in VMware Tools für Windows als "wichtig" gekennzeichnet. Angreifer könnten sich aufgrund eines Fehlers in der Reparatur-Funktion (race condition) in einer Windows-VM höhere Rechte aneignen. Versionen 10.x.y sind davon betroffen. Nicht bedroht sind Versionen 11.x.y, da die Reparatur-Funktion dort nicht existiert.

Wird in Workspace ONE SDK für Android und iOS die SSL-Pinning-Funktion genutzt, entsteht das Risiko, dass sich Angreifer als Man-in-the-Middle in Verbindungen einklinken könnten. VMware stuft in einer Meldung das von der Sicherheitslücke (CVE-20203940) ausgehende Risiko als "moderat" ein. Die abgesicherten Versionsnummern sind in einem Beitrag aufgelistet.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE