VMware hat eine Lücke in einem Videocodec gepatcht, die Angreifern die Ausführung von Befehlen auf einem Hostsystem erlaubte. Dazu musste der Anwender nur eine präparierte Webseite besuchen oder ein infiziertes Video ansehen. Entdeckt hatten die Schwachstelle iDefence, Sebastien Renaud vom Vupen Vulnerability Research Team und Alin Rad Pop von Secunia Research.
Außerdem hat VMware Lücken in den VMware Tools, vCenter Server und ESX geschlossen. Die Mehrheit kann nur ein lokaler Anwender nutzen, in einigen Fällen genügt ein Gastzugang. Sie geben Zugriff auf vermeintlich sichere Informationen oder zusätzliche Privilegien. Andere ermöglichen Remote-Zugriff auf Daten oder einen Denial-of-Service-Angriff.
Wirklich schwerwiegend ist laut Jason Edelstein vom australischen Sicherheitsdienstleister Sense of Security nur die Lücke im Videocodec: „Sie hat größere Auswirkungen.“ So könne ein Angreifer beispielsweise einen Port öffnen und Befehle auf dem Host-Betriebssystem ausführen. Auch könnten private Daten ausgelesen werden, ohne dass ein Anwender von der Infektion überhaupt etwas mitbekommt.
„Man lädt ein scheinbar harmloses Video herunter. Es funktioniert vielleicht, oder es stürzt ab. Jedenfalls übernimmt im Hintergrund jemand Ihr System und hat Zugriff auf Ihre Daten“, so Edelstein.
Die Lücken betreffen jeweils bestimmte Betriebssysteme, darunter Windows, Mac OS X und Linux. VMware rät zur Installation der aktualisierten Versionen seiner Produkte Workstation, Player, ACE, Server und Fusion. Auch in der Virtuellen Maschine verwendete Tools sollten aktualisiert werden. Gastsysteme unter ESX 2.5.5, 3.0.3, 3.5, 4.0 sowie ESXi 3.5, 4.0 empfiehlt VMware zu patchen und verwendete Tools von Hand zu aktualisieren.
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…