Categories: SicherheitWorkspace

VMware patcht zwei Cross-Site-Scripting-Lücken in vRealize

VMware hat zwei „wichtige“ Schwachstellen in seiner Software vRealize gepatcht, die es einem Angreifer hätten ermöglichen können, aus der Ferne Code auszuführen und somit Business-Workstations zu übernehmen. CVE-2015-2344 und CVE-2016-2075 sind beides Anfälligkeiten für Cross-Site Scripting (XSS).

Somit könnte der Angreifer Code einschleusen, der dann clientseitig ausgeführt wird. Die Schwachstellen stecken in den Produkten vRealize Automation sowie VMware vRealize Business Advanced und Enterprise. Die vRealize Suite dient der Verwaltung von Cloud-Plattformen.

Beide Anfälligkeiten sind nur auf Linux-Systemen gegeben, Windows-Installationen also nicht betroffen. CVE-2015-2344 steckt in VMware vRealize Automation 6.x vor Version 6.2.4. Sie wurde VMware von dem unabhängigen Sicherheitsforscher Lukasz Plonka gemeldet. Alvaro Trigo Martin de Vidales aus der Sicherheitsabteilung von Deloitte meldete das zweite Problem, das in VMware vRealize Business Advanced und Enterprise 8.x vor 8.2.5 steckt.

VMware fordert seine Kunden auf, die Aktualisierungen so schnell wie möglich einzuspielen. Kurz zuvor hatte es einen Fix für ein Problem herausgegeben, das es eigentlich schon mit einem Patch vom Oktober 2015 behoben zu haben glaubte. Es handelte sich um eine kritische Anfälligkeit in vCenter Server, die Remote-Codeausführung ermöglichte.

Im vergangenen Monat hatte auch COO Carl Eschenbach VMware verlassen. Er wechselt laut Fortune zu Sequioa Capital. Zuvor hatte das Unternehmen CFO Jonathan Chadwick und den für die Netzwerkvirtualisierung NSX zuständigen Martin Casado verloren. Eschenbachs Aufgaben werden auf mehrere Schultern verteilt.

Im Januar entließ VMware 800 Mitarbeiter, als seine Quartalsbilanz zwar besser als erwartet ausfiel, aber der schwache Ausblick für 2016 den Kurs um über 8 Prozent abtauchen ließ. Ein Restrukturierungsplan soll Investitionen in Wachstumsfelder ermöglichen. Die Stellenstreichungen treffen vor allem die Cloud-Plattform vCloud Air.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Share
Published by
Florian Kalenda
Tags: SicherheitVirtualisierung
9 Jahren ago

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

3 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

21 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

23 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

23 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago