Kritische Sicherheitslücken in VMware ESXi, Workstation und Fusion - aktiv ausgenutzt - Updates verfügbar

04. März 2025

Beschreibung

In VMware ESXi, Workstation und Fusion existieren mehrere kritische Sicherheitslücken, die bereits aktiv von Angreifern ausgenutzt werden. Diese ermöglichen unter anderem die Ausführung von beliebigem Code und die Offenlegung von Informationen.

CVE-Nummer(n): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226

CVSS Base Score: bis zu 9.3 (kritisch)

Auswirkungen

Die schwerwiegendste Schwachstelle (CVE-2025-22224, CVSS 9.3) ist ein "Time of Check – Time of use" (TOCTOU)-Fehler, der zu einem Heap-Überlauf führt. Angreifer mit Administratorrechten in einer virtuellen Maschine können darüber Code im VMX-Prozess auf dem Host ausführen und somit aus der VM ausbrechen.

Die zweite Schwachstelle (CVE-2025-22225, CVSS 8.2) ermöglicht beliebige Schreibzugriffe. Mit Berechtigungen innerhalb des VMX-Prozesses können Angreifer Kernel-Schreiboperationen auslösen und aus der Sandbox ausbrechen.

Die dritte Schwachstelle (CVE-2025-22226, CVSS 7.1) erlaubt das unbefugte Auslesen von Informationen durch Lesezugriffe außerhalb vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Damit können Angreifer mit Admin-Rechten in einer VM Speicherinhalte aus dem VMX-Prozess auslesen.

Betroffene Systeme

  • VMware ESXi 8.0 und 7.0
  • VMware Workstation Pro / Player 17.x
  • VMware Fusion 13.x
  • VMware Cloud Foundation 5.x und 4.5.x
  • VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x
  • VMware Telco Cloud Infrastructure 3.x, 2.x

Abhilfe

VMware stellt für die betroffenen Produkte Sicherheitsupdates bereit, deren umgehende Installation dringend empfohlen wird:

ESXi 8.0: ESXi80U3d-24585383 oder ESXi80U2d-24585300
ESXi 7.0: ESXi70U3s-24585291
Workstation: Version 17.6.3
Fusion: Version 13.6.3
Cloud Foundation 5.x und 4.5.x: Async Patches entsprechend der Versionen
Telco Cloud Platform: Siehe KB389385
Der Hersteller gibt an, dass es keine Workarounds gibt, daher ist die Installation der Sicherheitsupdates die einzige Schutzmöglichkeit.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Warnung von VMware (englisch)
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

FAQ zu den Schwachstellen (englisch)
https://brcm.tech/vmsa-2025-0004

Artikel bei Heise:
https://www.heise.de/news/Kritische-Luecke-in-VMware-ESXi-Fusion-und-Workstation-wird-missbraucht-10303639.html