Das österreichische CERT warnt vor mehreren kritischen Sicherheitslücken in VMware ESXi, Workstation und Fusion, die bereits aktiv von Angreifern ausgenutzt werden. Hersteller-Updates sind verfügbar und sollten raschestmöglich installiert werden.
Beschreibung
In VMware ESXi, Workstation und Fusion existieren mehrere kritische Sicherheitslücken, die bereits aktiv von Angreifern ausgenutzt werden. Diese ermöglichen unter anderem die Ausführung von beliebigem Code und die Offenlegung von Informationen.
CVE-Nummer(n): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226
CVSS Base Score: bis zu 9.3 (kritisch)
Auswirkungen
Die schwerwiegendste Schwachstelle (CVE-2025-22224, CVSS 9.3) ist ein „Time of Check – Time of use“ (TOCTOU)-Fehler, der zu einem Heap-Überlauf führt. Angreifer mit Administratorrechten in einer virtuellen Maschine können darüber Code im VMX-Prozess auf dem Host ausführen und somit aus der VM ausbrechen.
Die zweite Schwachstelle (CVE-2025-22225, CVSS 8.2) ermöglicht beliebige Schreibzugriffe. Mit Berechtigungen innerhalb des VMX-Prozesses können Angreifer Kernel-Schreiboperationen auslösen und aus der Sandbox ausbrechen.
Die dritte Schwachstelle (CVE-2025-22226, CVSS 7.1) erlaubt das unbefugte Auslesen von Informationen durch Lesezugriffe außerhalb vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Damit können Angreifer mit Admin-Rechten in einer VM Speicherinhalte aus dem VMX-Prozess auslesen.
Betroffene Systeme
- VMware ESXi 8.0 und 7.0
- VMware Workstation Pro / Player 17.x
- VMware Fusion 13.x
- VMware Cloud Foundation 5.x und 4.5.x
- VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
- VMware Telco Cloud Infrastructure 3.x, 2.x
Abhilfe
VMware stellt für die betroffenen Produkte Sicherheitsupdates bereit, deren umgehende Installation dringend empfohlen wird:
- ESXi 8.0: ESXi80U3d-24585383 oder ESXi80U2d-24585300
- ESXi 7.0: ESXi70U3s-24585291
- Workstation: Version 17.6.3
- Fusion: Version 13.6.3
- Cloud Foundation 5.x und 4.5.x: Async Patches entsprechend der Versionen
- Telco Cloud Platform: Siehe KB389385
Der Hersteller gibt an, dass es keine Workarounds gibt, daher ist die Installation der Sicherheitsupdates die einzige Schutzmöglichkeit.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
