Verschiedene Anwendungen von VMware für macOS und Windows zum Erstellen und Managen von virtuellen Maschinen sind über zwei Sicherheitslücken angreifbar.
Setzen Angreifer an der Lücke (CVE-2020-3950) in Fusion, Horizon Client, VMware Remote Console (VMRC) und Workstation an, könnten sie virtuelle Maschinen via DoS-Attacke ausknipsen oder sich Root-Rechte verschaffen. Wie aus einer Warnmeldung von VMware hervorgeht, ist dafür ein fehlerhafter Umgang mit Setuid-Bibliotheken verantwortlich. Das Angriffsrisiko ist als "hoch" eingestuft.
Die zweite Schwachstelle (CVE-2020-3951) betrifft die virtuelle Druck-Funktion Cortado Thinprint. Für eine erfolgreiche Attacke muss ein Angreifer Zugriff auf die Druck-Funktion haben. Dann könnte er diese mittels einer DoS-Attacke lahmlegen. Der Bedrohungsgrad ist mit der Einstufung "niedrig" versehen.
Die Ausgaben Fusion 11.5.2, Horizon Client 5.4.0, VMRC 11.0.1 und Workstation 15.5.2 sind abgesichert.
Quelle: VMware: Angreifer könnten virtuelle Maschinen abschießen | heise online
