Angreifer können mit VMware erstellte virtuelle Maschinen crashen

Mehrere Sicherheitslücken gefährden Computer mit bestimmten VMware-Anwendungen. Stimmen die Voraussetzungen, können Angreifer VMs abstürzen lassen oder sogar eigene Befehle ausführen. Sicherheitspatches sind verfügbar.

Die Auflistung der reparierten Versionen finden Admins am Ende dieser Meldung. Aus der Warnmeldung geht hervor, dass die am gefährlichsten eingestufte Schwachstelle (CVE-2025-41225 "hoch") vCenter Server betrifft. An dieser Stelle kann ein authentifizierter Angreifer eigene Befehle ausführen.

Verfügt ein Angreifer über Gast-VM-Rechte, kann er für eine Gast-VM einen DoS-Zustand erzeugen (CVE-2025-41226 "mittel"). So etwas führt in der Regel zu Abstürzen. Weiterhin sind noch weitere DoS-Attacken (CVE-2025-41227 "mittel") und XSS-Angriffe (CVE-2025-41228 "mittel") möglich.

VMware Fusion 13.6.3VMware Cloud Foundation (ESXi) ESXi70U3sv-24723868, ESXi80U3se-24659227VMware Cloud Foundation (vCenter) 7.0 U3v, 8.0 U3eVMware ESXi ESXi80U3se-24659227, ESXi70U3sv-24723868VMware Telco Cloud Platform (ESXi) ESXi70U3sv-24723868, ESXi80U3se-24659227VMware Telco Cloud Infrastructure (ESXi) ESXi70U3sv-24723868, ESXi80U3se-24659227VMware Telco Cloud Platform (vCenter) 8.0 U3eVMware Telco Cloud Infrastructure (vCenter) 8.0 U3eVMware Telco Cloud Infrastructure (vCenter) 7.0 U3vvCenter Server 7.0 U3v, 8.0 U3eVMware Workstation 17.6.3

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo