Virtuelle Maschinen wie zum Beispiel ein echtes Linux unter Windows oder Windows Vista unter XP usw. werden immer beliebter. Der Platzhirsch auf diesem Sektor behebt nun zwei wichtige Sicherheitslücken.
Wichtige Security Updates für VMWare
Eine virtuelle Maschine ist schon eine echt tolle Geschichte. Seit die meisten PC´s auch einigermaßen leistungsfähig sind, ist der Betrieb einer solchen Maschine auch gar kein großes Problem mehr.
Einer der bekanntesten und sicher der Platzhirsch auf dem Virtualisierungssektor ist VMWare mit seinen diversen Produkten. Auch für Webentwickler ist VMWare sehr interessant. Es ist zum Beispiel relativ einfach, einen kompletten Webserver mit VMWare zu realisieren.
Nach der Installation von VMWare spielt man sich einfach eines der zahlreichen und schon fertig konfigurierten kostenlos erhältlichen Systeme ein. Das könnte zum Beispiel ein Debian oder Ubuntuserver sein. Aber auch ein Linux-Desktopsystem, Windows in verschiedenen Varianten oder auch Mac OSX und vieles mehr wäre denkbar.
Für all das wäre VMWare sicher eine der ersten Adressen, zumal die Software auch noch kostenlos zu bekommen ist. Man muß lediglich einige Angaben machen und erhält dann auch schon die benötigte Seriennummer.
Leider taten sich nun bei VMWare-Produkten Sicherheitslücken auf. Diese wurden aber schnell gefixt und ein Patch ist erhältlich, welchen man schnellstens verwenden sollte. In den neuesten Versionen tritt das Problem nicht mehr auf.
VMWare Produkte simulieren also Hardware und ermöglichen es, sogenannte Gastsysteme zu betreiben. Nun gibt es einen Fehler in der CPU Hardware-Emulation welcher dazu führt, daß die virtuelle CPU die Verarbeitung von Trap-Flags inkorrekt ausführt. Wer diesen Fehler ausnutzt, kann sich unerlaubte Privilegien auf dem Gastsystem verschaffen. Ein Angreifer benötigt allerdings Zugang zum Gastsystem mit den Rechten, Anwendungen laufen zu lassen.
Betroffen sind die VMWare Workstation Versionen unter 6.5.x sowie der VMWare Player unter 2.5.x. Betroffen sind auch ACE unter Version 2.5.x, VMWare Server unter 2.x sowie alle ESX-Versionen welche auch noch eine weitere Lücke aufweisen.
