VMware patcht Lücke in Codec

Ein Angreifer kann Befehle auf dem Host ausführen. Dazu muss der Anwender nur eine präparierte Webseite besuchen oder ein Video ansehen. Das Update ist das wichtigste aus einem größeren Schwung von VMware-Patches.

Logo von VMware

VMware hat eine Lücke in einem Videocodec gepatcht, die Angreifern die Ausführung von Befehlen auf einem Hostsystem erlaubte. Dazu musste der Anwender nur eine präparierte Webseite besuchen oder ein infiziertes Video ansehen. Entdeckt hatten die Schwachstelle iDefence, Sebastien Renaud vom Vupen Vulnerability Research Team und Alin Rad Pop von Secunia Research.

Außerdem hat VMware Lücken in den VMware Tools, vCenter Server und ESX geschlossen. Die Mehrheit kann nur ein lokaler Anwender nutzen, in einigen Fällen genügt ein Gastzugang. Sie geben Zugriff auf vermeintlich sichere Informationen oder zusätzliche Privilegien. Andere ermöglichen Remote-Zugriff auf Daten oder einen Denial-of-Service-Angriff.

Wirklich schwerwiegend ist laut Jason Edelstein vom australischen Sicherheitsdienstleister Sense of Security nur die Lücke im Videocodec: „Sie hat größere Auswirkungen.“ So könne ein Angreifer beispielsweise einen Port öffnen und Befehle auf dem Host-Betriebssystem ausführen. Auch könnten private Daten ausgelesen werden, ohne dass ein Anwender von der Infektion überhaupt etwas mitbekommt.

„Man lädt ein scheinbar harmloses Video herunter. Es funktioniert vielleicht, oder es stürzt ab. Jedenfalls übernimmt im Hintergrund jemand Ihr System und hat Zugriff auf Ihre Daten“, so Edelstein.

Die Lücken betreffen jeweils bestimmte Betriebssysteme, darunter Windows, Mac OS X und Linux. VMware rät zur Installation der aktualisierten Versionen seiner Produkte Workstation, Player, ACE, Server und Fusion. Auch in der Virtuellen Maschine verwendete Tools sollten aktualisiert werden. Gastsysteme unter ESX 2.5.5, 3.0.3, 3.5, 4.0 sowie ESXi 3.5, 4.0 empfiehlt VMware zu patchen und verwendete Tools von Hand zu aktualisieren.

Themenseiten: Betriebssystem, Software, VMware, Virtualisation, Virtualisierung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu VMware patcht Lücke in Codec

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *