VMware: Sicherheitsupdate und Player-Sicherheitsmängel

Heute noch ein kleiner Sammelbeitrag zu VMware Sicherheitsproblemen. So hat der Hersteller seine VMware-Tools wegen Sicherheitslücken aktualisiert, glänzt aber beim VMware Player (12.5.9-7535481) durch gravierende Sicherheitsmängel im Installer. Der Bug wird auch nicht mehr behoben, da diese Version aus dem Support gefallen ist.


Anzeige

Update VMware Tools 10.3

Bereits am 23. Juli 2018 hat VMware das Update der VMware Tools auf die Version 10.3 freigegeben. Für Windows werden folgende Betriebssysteme unterstützt:

  • Windows Server 2016
  • Windows 10
  • Windows Server 2012 R2
  • Windows 8.1
  • Windows Server 2012
  • Windows 8
  • Windows Server 2008 R2 Service Pack 1 (SP1)
  • Windows 7 SP1
  • Windows Server 2008 Service Pack 2 (SP2)
  • Windows Vista SP2
  • Windows Server 2012 R2 with Microsoft update KB2919355
  • Windows 8.1 with Microsoft update  KB2919355

Die Release-Notes beschreiben die Neuerungen, während die behobenen Bugs in den Resolved Issues dokumentiert sind. VMware Tools 10.3.0 für Windows installiert Microsoft Visual C++ 2017 Redistributable Version 14.0 auf dem System. Das erfordert möglicherweise einen Neustart. Windows-Benutzern wird dringend empfohlen, vor der Installation oder dem Upgrade auf VMware Tools 10.3.0 einen Neustart des Systems zu planen. VMware Tools stehen auf der Product Download nach einer Benutzeranmeldung zur Verfügung.

Bereits am 12. Juli 2018 erschien ein Security Advisory VMSA-2018-0017, welches auf eine geschlossene Sicherheitslücke CVE-2018-6969 in HGFS durch die VMware Tools 10.3.0 hinweist. Die VMware Tools müssen für jede  Windows VM aktualisiert werden, um die Schwachstelle CVE-2018-6969 zu beheben. Hinweise zur Installation finden sich unter General VMware Tools installation instructions (1014294).

Die 158 MByte große ZIP-Datei für Windows muss nach dem Download entpackt werden. Danach finden sich die ISO-Dateien mit den VMware-Tools für Windows, Linux etc. im Ordner vmtools. Aktuell bin ich aber noch am Experimentieren, wie ich die neue Version der VMware-Tools in VMware Workstation 10 einbinden kann (die VMware-Tools werden nämlich nicht unter dem Gast-Betriebssystem als DVD angeboten).

CVE-2016-7085 im VMware Player ungefixt

Stefan Kanthak hat am 1. August 2018 auf seclists.org darauf hingewiesen, dass die Schwachstelle CVE-2016-7085 im VMware-player-12.5.9-7535481.exe immer noch ungefixt ist und auch bleibt. Die Beschreibung der Schwachstelle lautet:


Anzeige

Untrusted search path vulnerability in the installer in VMware Workstation Pro 12.x before 12.5.0 and VMware Workstation Player 12.x before 12.5.0 on Windows allows local users to gain privileges via a Trojan horse DLL in an unspecified directory.

Die Sicherheitslücke wurde von ihm am 13. Februar 2016 für den an VMware-player 7.1.3 an den Hersteller gemeldet. VMware hat dann nach 7 Monaten, am 14. September 2016 reagiert und die Beiträge vmsa-2016-0014 und VMSA-2016-0014 (Advisory) veröffentlicht.

Im Januar 2018 kam dann der VMware-player-12.5.9-7535481.exe heraus, der sich von den VMware-Seiten herunterladen lässt. Bei der Analyse stellte Kanthak fest, dass nicht nur CVE-2016-7085 immer noch enthalten war. Es sind drei weitere Schwachstellen hinzugekommen. Die Schwachstellen ermöglichen eine Codeausführung mit Ausweitungen der Rechte. Die Problematik der Schwachstelle ist in folgenden Dokumenten beschrieben.

https://cwe.mitre.org/data/definitions/426.html
https://cwe.mitre.org/data/definitions/427.html

Das in VMware-player-12.5.9-7535481.exe eingebettete Anwendungsmanifest
spezifiziert "requireAdministrator", was ja zur Installation des Player erforderlich ist. Dann kann aber ein unprivilegierter Benutzer beliebige (Schad-) DLLs im Verzeichnis Downloads platzieren und diese bei der Installation des VMware Player mit
Administratorrechten ausführen lassen. Das lässt sich zur Ausführung von beliebigem Code mit Ausweitung der Privilegien missbrauchen. Kanthak hat den nach wie vor ungefixten Bug im VMware Player 12.5.9 am 3. Juni 2018 an VMware gemeldet, die den Bug am 13.6.2018 bestätigt haben. Am 14.6.2018 kam folgende Rückmeldung von VMware:

It is my understanding that Workstation Player 12.x has since reached end of general support (in February of 2018) as per our Lifecycle Product Matrix

So kann man es natürlich aus machen: Erst ein Produkt mit einem fetten (Anfänger-)Fehler ausrollen. Und wenn eine Meldung kommt, mitteilen, dass das Produkt aus dem Support gefallen sei und man nichts mehr fixe.

Solche Klopper werden eigentlich ständig durch diverse Hersteller mit .exe-Installern gebracht. In den nachfolgend verlinkten Beiträgen werden teilweise solche Fälle, ggf. durch einen Kommentar von Stefan Kanthak, angesprochen.

Ähnliche Artikel:
Microsoft und die Office 20xx-Sicherheitslücke in ose.exe
Patch für TrendMicro Worry Free Business Security 10.0
MDOP/MBAM-Update KB4340040 und die Sicherheitlücken
Achtung: FileZilla-Installer verteilt Adware/Bloatware
7-ZIP Version 18.05 veröffentlicht
Microsoft liefert Updates per HTTP aus und mehr
SoftMaker Office 2018: Servicepack 933 verfügbar
Mozillas Firefox DNS-Sündenfall …


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update, Virtualisierung abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu VMware: Sicherheitsupdate und Player-Sicherheitsmängel

  1. Harald.L sagt:

    Leider muß ich hier bei Workstation 12 bleiben da meine CPU (Core-i7 920) von Workstation 14 nicht mehr unterstützt wird. Kann also nicht updaten und für die 12er gibt es, wie oben beschrieben, ja leider kein Update mehr :-(

  2. StefanP sagt:

    Im Update Manager unseres ESXi 6.5 tauchen die VMware Tools 10.3 nicht auf.
    Also wohl Download und anschließend manuelle Installation…

    • riedenthied sagt:

      Das ist eigentlich schon eine Weile so. Such mal im Netz der Netze nach "productLocker", falls du die Tools über mehrere Hosts zentral verteilen musst.

  3. Steter Tropfen sagt:

    Mein Player findet auch noch keinerlei Updates. Kommt sicher mit Verspätung.

    Mal eine Frage zu den unterstützten Betriebssystemen: Die Tools-Version, die noch ausdrücklich WinXP unterstützte, war die 10.0.12. – Nur noch nach längerer Sucherei als Download aufzufinden, und ich weiß nicht, ob die parallel zu anderen Versionen (neu) installiert werden kann.

    Ein wichtiger Anwendungszweck so einer virtuellen Maschine ist ja gerade, ein „aus dem Support gefallenes" Betriebssystem isoliert weiter zu betreiben. Wenn aber VMware genau solche Betriebssysteme mit seinen Tools nicht mehr unterstützt, dann ist eben dieser Einsatzzweck verfehlt.
    Sprich: Der Plan, Win7 virtuell weiterleben zu lassen, scheint mit VMware gar nicht umsetzbar zu sein.

    • Günter Born sagt:

      Du spricht von einer Unterstützung des Gast-Betriebssystems? Da könntest Du auf älteren VMware Tools bleiben und die VM mit dem Gast Nonpersistent betreiben. Mit Linux als Host sollte sich das Ganze dann sicherheitsmäßig halbwegs im Griff halten lassen.

      Mehrere VMware Workstation-Installationen parallel betreiben, geht imho nicht (der Hypervisor käme sich in die Quere). Was gehen sollte: Unterschiedliche VMware Gast Tools in individuellen VMs installieren – einfach die jeweilige ISO als DVD-Laufwerk einbinden und dann aus dem Gast-Betriebssystem installieren – oder ich habe einen Denkfehler gemacht.

  4. Steter Tropfen sagt:

    Ich denke vor allem an eine spätere Neuinstallation, wenn die Tools erst noch zu installieren sind, aber womöglich nicht mehr automatisch angeboten werden.

    Nach einigem Nachgraben bin ich für die Tools auf den Link https://packages.vmware.com/tools/releases/index.html gestoßen. Da findet man (jedenfalls so lange VMware seine Webseite nicht umräumt) bequem noch alle 10er-Versionen zum Herunterladen, ganz ohne Login.
    Und siehe da, dort findet sich im jeweiligen Unterordner /windows/x86/ (bzw. x64, aber WinXP ist ja meistens 32bit) eine exe-Datei, mit der man die Tools direkt im Gastbetriebssystem installieren kann – ohne iso-Gepfriemel.
    Damit können in einer Workstation-Installation (abwechselnd) Gäste mit unterschiedlichen Tool-Versionen betrieben werden.

    Aber da muss man erst mal drauf kommen… Und sich die Dateien beizeiten heruntergeladen haben. – Da könnte 2020 mancher Win7-Anhänger eine böse Überraschung erleben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.