Admins, die in Unternehmen das Anwendungs- und Anwendermanagement in Umgebungen mit virtuellen Desktops mit VMwares App Volumes realisieren, sollten die Software aus Sicherheitsgründen auf den aktuellen Stand bringen.
Andernfalls könnten Angreifer Systeme mit verwundbaren Versionen von App Volumes attackieren. Von der Sicherheitslücke (CVE-3975) sind alle Systeme betroffen, auf denen App Volumes läuft.
Sicherheitsupdates verfügbar
Klappt eine Attacke, könnten Angreifer aufgrund einer unzureichenden Überprüfung von Nutzereingaben beispielsweise beim Erstellen von Applikationen eine persistente XSS-Attacke ausführen. In einer Warnmeldung stuft VMware das Angriffsrisiko als "moderat" ein.
Abgesichert sind die Versionen 2006 und 2.18.6. Derzeit gibt es keinen Workaround für Systeme und Admins sollten die abgesicherten Ausgaben zeitnah installieren.
Quelle: Sicherheitsupdate: VMware App Volumes abgesichert | heise online