11. 06. 2020

Das MCS Security Board informiert

Kritische Sicherheitslücke (VMware)

VMware-Anwendungen als Sprungbrett für Angreifer

Wer virtuelle Maschinen mit Software von VMware erzeugt und verwaltet, sollte seine eingesetzen Versionen überprüfen. Ältere Versionen weisen Schwachstellen auf und das Angriffsrisiko wird als „hoch“ eingestuft. Abhilfe schaffen Updates.

Heise meldet: Von der am gefährlichsten eingestuften Sicherheitslücke (CVE-2020-3961) ist Horizon Client für Windows betroffen. Wegen eines Fehlers bei der Konfiguration von Ordnerberechtigungen und dem unsicheren Laden von Bibliotheken könnten sich lokale Angreifer auf einem System höhere Rechte aneignen. Die Horizon Client Ausgabe 5.4.3 ist repariert. Alle vorigen Ausgaben sind VMware zufolge verwundbar.

VMware Fusion Pro, vSphere ESXi und Workstation Pro/Player sind über eine Schwachstelle (CVE-2020-3960) attackierbar. Dafür ist aber ein Zugriff auf eine virtuelle Maschine notwendig. Klappt eine Attacke, könnten Angreifer auf eigentlich unzugängliche Informationen im Speicher zugreifen. Davon sind alle Systeme bedroht. Abgesichert sind die Ausgaben Fusion 11.5.5, Workstation 15.5.5, ESXi650-202005401-SG und ESXi670-202006401-SG. Version 7.0 soll nicht bedroht sein.

Links

VMware ESXi, Workstation and Fusion updates address out-of-bounds read vulnerability (CVE-2020-3960)

VMware Horizon Client for Windows update addresses privilege escalation vulnerability (CVE-2020-3961)

Gern helfen wir Ihnen weiter

Wir beraten und unterstützen unsere Kunden bei ihrem Patch- sowie Lifecycle-Management. Gerade in Bezug auf die in der letzten Vergangenheit identifizierten Sicherheitslücken im Bereich von Serverprozessoren empfehlen wir, in regelmäßigen Abständen die Hardware, die Hypervisor und Betriebssysteme zu patchen.

Die MCS GmbH hat fast 20 Jahre Erfahrung mit der Konzipierung, Inbetriebnahme und Betreuung von Rechenzentrumsumgebungen und weiteren dazugehörigen Produkten. Des Weiteren sind wir als Unternehmen gemäß DIN ISO/IEC 27001 zertifiziert.

Unser Kollege Dirk Nebermann ist einer unserer technischen Experten im Haus und freut sich auf Ihre Anfrage. Wir beraten Sie gern! Melden Sie sich einfach hier. Oder schreiben Sie uns eine E-Mail an dirk.nebermann@mcs.de.