Bundesamt für Sicherheit in der Informationstechnik

CB-K18/0063

Risikostufe 4

Titel:VMware Workstation, Fusion: Zwei Schwachstellen ermöglichen das Ausführen beliebigen ProgrammcodesDatum:11.01.2018Software:VMware Fusion < 8.5.10, VMware Fusion < Pro 8.5.10, VMware Fusion 8.x, VMware Fusion Pro 8.x, VMware Fusion < 10.1.1, VMware Fusion < Pro 10.1.1, VMware Fusion 10.x, VMware Fusion Pro 10.x, VMware Workstation < Player 12.5.9, VMware Workstation < Pro 12.5.9, VMware Workstation Player 12.x, VMware Workstation Pro 12.x, VMware Workstation < Player 14.1.1, VMware Workstation < Pro 14.1.1, VMware Workstation Player 14.x, VMware Workstation Pro 14.xPlattform:Apple macOS, GNU/Linux, Microsoft WindowsAuswirkung:Ausführen beliebigen ProgrammcodesRemoteangriff:JaRisiko:hochCVE Liste:CVE-2017-4949, CVE-2017-4950Bezug: VMware Security Advisory VMSA-2018-0005

Beschreibung

VMware Fusion ist ein Software Hypervisor für Rechner mit dem Betriebssystem Mac OS auf Intel-Prozessoren. VMware Fusion erlaubt Intel-basierten Mac Systemen virtuelle Maschinen mit Microsoft Windows, Linux, NetWare oder Solaris zu betreiben.

VMware Workstation ermöglicht die Virtualisierung von Betriebssystemen. Es wird in den Versionen Workstation Player und Workstation Pro für Windows und Linux vertrieben. Die Verwendung von Workstation Player (früher VMware Player) ist im nicht-kommerziellen Bereich kostenlos. Mit dem Workstation Player können fertig eingerichtete virtuelle Maschinen "abgespielt" werden, er stellt also eine Art Viewer dar.

Zwei Schwachstellen in VMware Workstation Pro / Player (Workstation) und Fusion Pro / Fusion (Fusion) ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes auf dem Host-System. Der Hersteller VMware bestätigt die Schwachstellen für VMware Workstation in den Versionen 12.x vor 12.5.9 und 14.x vor 14.1.1 sowie Fusion in den Versionen 8.x vor 8.5.10 und 10.x vor 10.1.1. Als fehlerbereinigte Sicherheitsupdates werden für Workstation 12.x und 14.x die Patches 12.5.9 und 14.1.1 in der Player- und Pro-Variante und für Fusion 8.x und 10.x die Patches 8.5.10 und 10.1.1 auch in der Pro-Variante bereitgestellt.