[English]VMware by Broadcom hat zum 15. Juli 2025 eine Sicherheitswarnung zu diversen Schwachstellen in VMware ESXi, Workstation, Fusion und den VMware Tools veröffentlicht, die dringend durch Sicherheitsupdates gepatcht gehören. Unklar ist, wie man als Benutzer ohne Broadcom-Account an die Updates herankommt.
Die Information ist mir vor Stunden über verschiedene Leser zugegangen (danke dafür), findet sich aber auch im Web sowie in nachfolgendem Tweet.
VMware by Broadcom hat in der Sicherheitswarnung VMSA-2025-0013 bekannt gegeben, dass es mehrere Schwachstellen (CVE-2025-41236, CVE-2025-41237, CVE-2025-41238, CVE-2025-41239) in VMware ESXi, Workstation, Fusion und den VMware-Tools gibt. Mit einem CVSS Base Score von 7.1-9.3 sind die Schwachstellen teilweise kritisch.
- CVE-2025-41236 ist eine VMXNET3-Schwachstelle mit Integer-Überlauf; CVSSv3-Score 9.3; critical; Ein böswilliger Akteur mit lokalen administrativen Rechten auf einer virtuellen Maschine mit virtuellem VMXNET3-Netzwerkadapter kann dieses Problem ausnutzen, um Code auf dem Host auszuführen. Betroffen sind VMware ESXi, Workstation und Fusion. Virtuelle Adapter ohne VMXNET3 sind von diesem Problem nicht betroffen.
- CVE-2025-41237 ist eine VMCI-Integer-Unterlauf-Schwachstelle, CVSSv3-Score 9.3; critical; Ein böswilliger Akteur mit lokalen administrativen Rechten auf einer virtuellen Maschine kann dieses Problem ausnutzen, um Code als VMX-Prozess der virtuellen Maschine auf dem Host auszuführen. Unter ESXi wird die Schwachstelle innerhalb der VMX-Sandbox ausgenutzt, während dies unter Workstation und Fusion zur Ausführung von Code auf dem Rechner führen kann, auf dem Workstation oder Fusion installiert ist. Betroffen vom Integer-Unterlauf in VMCI (Virtual Machine Communication Interface), der zu einem Out-of-Bounds-Write führt, sind VMware ESXi, Workstation und Fusion.
- CVE-2025-41238: PVSCSI-Heap-Overflow-Schwachstelle; CVSSv3-Score 9.3; critical; Ein böswilliger Akteur mit lokalen administrativen Rechten auf einer virtuellen Maschine kann dieses Problem ausnutzen, um Code als VMX-Prozess der virtuellen Maschine auf dem Host auszuführen. Auf ESXi ist die Ausnutzung in der VMX-Sandbox enthalten und kann nur mit nicht unterstützten Konfigurationen ausgenutzt werden. Auf Workstation und Fusion kann dies zur Ausführung von Code auf dem Rechner führen, auf dem Workstation oder Fusion installiert ist. Betroffen vom Out-of-Bounds-Write sind VMware ESXi, Workstation und Fusion.
- CVE-2025-41239: vSockets Offenlegungs-Schwachstelle; CVSSv3-Score 7.1; wichtig; Ein böswilliger Akteur mit lokalen administrativen Rechten auf einer virtuellen Maschine könnte den Speicher von Prozessen, die mit vSockets kommunizieren, auslesen und sensitive Informationen abziehen. Die Verwendung eines nicht initialisierten Speichers in vSockets betrifft VMware ESXi, Workstation, Fusion und VMware Tools.
VMware by Broadcom hat unter VMSA-2025-0013 eine Tabelle mit Links zu den verfügbaren Updates veröffentlicht. Dazu ist aber eine Anmeldung am Broadcom Support Portal erforderlich.
Die Kollegen von deskmodder.de haben in diesem Artikel auf die Veröffentlichung von VMware Workstation Pro 17.6.4, Fusion 13.6.4 und VMware Tools 13.0.1.0 verwiesen und auch die Downloads für die Sicherheits-Updates verlinkt. Auch VMware Tools 12.5.3 behebt die Lücke. Der Downloads ist auch ohne Account über diesen Link möglich (danke an Thorsten).
MVP: 2013 – 2016
"Unklar ist, wie man als Benutzer ohne Broadcom-Account an die Updates herankommt."
Da schaut man einfach bei Deskmodder vorbei und wirft einen Blick in die Kommentare …
Hier der Beitrag deines Kollegen …. https://www.deskmodder.de/blog/2025/07/16/vmware-workstation-pro-17-6-4-fusion-13-6-4-und-vmware-tools-13-0-1-0-beide-als-sicherheitsupdate-erschienen/#comments
oder man legt sich einfach einen Account an und Volla!
Neowin bietet das im Artikel https://www.neowin.net/software/vmware-workstation-pro-1764/ auch an
und verlinkt nach hier: https://www.techspot.com/downloads/189-vmware-workstation-for-windows.html#download_scroll
soviel zum notwenigen Account
Zum "oder man legt sich einfach einen Account an und Volla!" – hat vor einem Jahr bei mir nicht geklappt.
Zu den deskmodder-Links – sind oben im Text – moinmoin hatte sie am Artikelende verlinkt. ESXi & Co. sind halt da nicht dabei.
Zumal Updates aus unbekannten quellen… meist ohne signatur und/oder prüfsummen… bravo… damit will man seine infrastruktur patchen…
Das war nicht die Frage und das muss auch jeder selber entscheiden.
Ich habe ja einen account. @günther probiere es noch mal, das sollte mittlerweile gehen, zumal du auch den kostenloses esxi wieder herunterladen kannst.
Also ich kann mit meinem Broadcom Account keine Downloads durchführen, weil mir ja eben die Site-ID und somit die Berechtigung dafür fehlt. Weder für ESXi noch für vCenter.
Prüfsumme ist doch überall klar ersichtlich, kannst du doch gegen checken
Die Frage Günther wäre ja eher, dass Sie die Leute, die eine Version damals gekauft haben, aber keinen support Vertrag haben, hängen lassen. Ab April haben sie ja für die Vsphere Komponenten usw eine Paywall einegrichtet und man bekommt die updates nur noch mit support Vertrag ( Menge Schotter, dank Broadcom) und erstellten token. Vor April konnte man die Updates selber noch beziehen. Broadcom selber hatte ja gesagt, dass sie alle kritischen ( Score über 9) Lücken , den Patch für alle bereitstellen. Machen Sie aber nicht :).
https://knowledge.broadcom.com/external/article?articleNumber=314603
Also weil sie von der Lücke wussten, ist es kein zero day , aber eigentlich ist alles zero day, was einen score von 9 oder höher hat ^^. Den Text kann man interpretieren wie man möchte.