2016-1493: VMware ESXi, Fusion, Workstation, Player, Tools: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-09-14 16:41): Neues Advisory
Version 2 (2017-12-27 11:53): VMware weist darauf hin, dass zur Behebung der Schwachstelle CVE-2016-7082 die Versionen 14.1.0 für VMware Workstation Pro und Player zur Verfügung stehen. Es wird jeweils lediglich für den Versionszweig 14.x für Windows ein Sicherheitsupdate zur Verfügung gestellt, die älteren Versionszweige erhalten das Sicherheitsupdate voraussichtlich nicht.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Apple
Microsoft
VMware

Beschreibung:

Mehrere Schwachstellen in VMware Workstation Pro / Player für Windows bzw. im Workstation Installer ermöglichen einem einfach authentifizierten Angreifer im benachbarten Netzwerk das Ausführen beliebigen Programmcodes (mit Benutzerrechten). Zwei weitere Schwachstellen in VMware Tools, welche auch Bestandteil von ESXi und Fusion sind, ermöglichen zudem einem lokalen, einfach authentifizierten Angreifer seine Privilegien zu eskalieren. Die ersten Schwachstellen betreffen ausschließlich Windows-Betriebssysteme, während von den Schwachstellen CVE-2016-7079 und CVE-2016-7080 nur Mac OS X betroffen ist.

VMware stellt die Releases von VMware Workstation Pro 12.5.0, VMware Workstation Player 12.5.0, VMware Fusion 8.5.0 und VMware Tools 10.0.9 sowie Patches für die Produkte VMware ESXi 5.5 und 6.0 als Sicherheitsupdates bereit. VMware Tools 10.0.9 kann separat heruntergeladen werden und ist außerdem in ESXi 5.5 patch ESXi550-201608102-SG, ESXi 6.0 patch ESXi600-201608403-BG und Fusion 8.5.0 enthalten.