Broadcom hat mit dem Advisory VMSA-2025-0013 mehrere Schwachstellen in VMware-Produkten veröffentlicht, darunter ESXi, Workstation, Fusion, VMware Tools sowie verschiedene Telco- und Cloud-Foundation-Produkte. Die Lücken wurden im Rahmen von Pwn2Own gemeldet und betreffen zentrale Komponenten wie VMXNET3, VMCI, PVSCSI und vSockets. Updates stehen bereit.
Die betroffenen Schwachstellen im Überblick:
– CVE-2025-41236: Integer-Overflow im VMXNET3-Netzwerkadapter kann auf ESXi, Workstation und Fusion zu Codeausführung auf dem Host führen (CVSS 9.3).
– CVE-2025-41237: Integer-Underflow im VMCI-Interface erlaubt unter bestimmten Umständen Codeausführung im VMX-Prozess (CVSS 9.3).
– CVE-2025-41238: Heap-Overflow im PVSCSI-Controller ermöglicht Out-of-Bounds-Schreibzugriffe und Codeausführung (CVSS 9.3).
– CVE-2025-41239: Einsatz nicht initialisierter Speicherbereiche in vSockets kann zum Auslesen sensibler Informationen führen (CVSS bis 7.1).
Angreifer benötigen in allen Fällen administrative Rechte innerhalb einer virtuellen Maschine. Besonders kritisch ist die Möglichkeit, vom Gastsystem aus auf den Host zuzugreifen – je nach Produkt und Konfiguration.
Betroffen sind u. a. folgende Produkte und Versionen:
– VMware ESXi 7.0 und 8.0
– VMware Workstation 17.x
– VMware Fusion 13.x
– VMware Tools für Windows
– VMware Cloud Foundation ab Version 4.5
– VMware Telco Cloud Platform und Infrastructure
Broadcom stellt Sicherheitsupdates für alle betroffenen Plattformen zur Verfügung. Workarounds existieren nicht. Unternehmen sollten ihre Systeme schnellstmöglich auf die in der Response Matrix angegebenen Versionen aktualisieren.
Details zur Schwachstellenklassifizierung, Patches und CVSS-Wertungen sind unter
https://brcm.tech/vmsa-2025-0013-qna sowie im offiziellen Advisory abrufbar:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: