Technische Warnung des Bürger-CERT
———————————-
TECHNISCHE WARNUNG TW-T17/0027
Titel: Sicherheitsupdates für VMware Workstation Pro / Player und Fusion
(Pro)
Datum: 14.03.2017
Risiko: sehr hoch
ZUSAMMENFASSUNG
In Gast-Systemen auf verschiedenen Plattformen existiert eine
Sicherheitslücke, die einem Angreifer in einem benachbarten Netzwerk das
Ausführen schädlichen Programmcodes ermöglicht.
BETROFFENE SYSTEME
– VMware Fusion vor 8.5.5
– VMware Fusion vor 8.5.5
– VMware Player vor 12.5.4
– VMware Workstation vor 12.5.4
– Apple Mac OS X
– macOS Sierra
– GNU/Linux
– Microsoft Windows
EMPFEHLUNG
Installieren Sie die von VMware zur Verfügung gestellten
Sicherheitsupdates. Diese können Sie über die VMware Webseite
herunterladen (Referenzen anbei). Als kurzfristig nutzbarer Workaround
können für Workstation Pro und Fusion (Pro) auch die Drag-and-Drop
(DnD)-Funktionalität und die Copy-and-Paste (C&P)-Funktionalität
deaktiviert werden.
BESCHREIBUNG
VMware Fusion ist ein Software Hypervisor für Rechner mit dem
Betriebssystem Mac OS auf Intel-Prozessoren. VMware Fusion erlaubt
Intel-basierten Mac Systemen virtuelle Maschinen mit Microsoft Windows,
Linux, NetWare oder Solaris zu betreiben.
VMware Player ist eine Software, mit der fertig eingerichtete virtuelle
Maschinen „abgespielt“ werden können, also eine Art Viewer.
VMware Workstation ermöglicht die Virtualisierung von Betriebssystemen.
Eine Sicherheitslücke in den VMware Produkten Workstation Pro / Player
und Fusion (Pro) ermöglicht einem Angreifer aus dem Netzwerk durch
Missbrauch der Drag-and-Drop (DnD)- bzw. der Copy-and-Paste
(C&P)-Funktionalität das Ausführen schädlichen Programmcodes auf einem
Gastsystem. Der Hersteller stuft die Schwachstelle als kritisch ein.
QUELLEN
– Download VMware Fusion (Englisch)
– Download VMware Workstation Pro (Englisch)
– Download VMware Workstation Player (Englisch)
– VMware Security Advisory VMSA-2017-0005 (Englisch)
———————————————————————–
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: =