Handlungsempfehlung zu Sicherheitslücke in VMware-Produkten ESXi, Fusion und Workstation

VMWare hat mit VMSA-2025-0004 auf eine Sicherheitslücke hingewiesen, die die VMware-Produkte ESXi, Fusion und Workstation betrifft.

Es gibt mehrere – zum Teil schwerwiegende – Schwachstellen:

CVE-2025-22224:
Diese Schwachstelle ist ein Heap-Overflow der Art „Time of Check – Time of use” (TOCTOU). Angreifer mit Admin-Rechten auf einer virtuellen Maschine können diese benutzen, um Code im VMX-Prozess auf dem Host auszuführen. Der CVSS-Score beträgt 9.3, was eine Einstufung als kritisch entspricht.

CVE-2025-22225:
Bei dieser Schwachstelle können Angreifer mit entsprechenden Berechtigungen innerhalb des VMX-Prozesses beliebige Kernel-Schreiboperationen auslösen und aus der Sandbox ausbrechen. Der CVSS-Score wird mit 8.2 angegeben und das Risiko als hoch eingestuft.

CVE-2025-22226:
Diese Schwachstelle ermöglicht das unbefugte Auslesen von Informationen durch Lesezugriffe außerhalb vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Angreifer benötigen Admin-Rechte in einer VM und können dadurch Speicher aus dem VMX-Prozess auslesen. Der CVSS-Score beträgt 7.1, das Risiko gilt als hoch.

Handlungsempfehlung:

Wir empfehlen die Installation von Sicherheitsupdates für

• VMware ESXi 7.0 (70U3s), 8.0 (80U2d & 80U3d)
• VMware Workstation 17.x (17.6.3)
• VMware Fusion 13.x (13.6.3)
• VMware Cloud Foundation 4.5.x (70U3s) und 5.x (80U3d)
• VMware Telco Cloud Platform 2.x, 3.x, 4.x und 5.x sowie
• VMware Telco Cloud Infrastructure 2.x und 3.x (KB389385)

Quellen:

• https://www.heise.de/news/Kritische-Luecke-in-VMware-ESXi-Fusion-und-Workstation-wird-missbraucht-10303639.html
• https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

Gerne unterstützen wir Sie bei der Prüfung Ihrer Systeme und der Umsetzung der entsprechenden Maßnahmen. Melden Sie sich dazu bitte bei unserem Support per Mail (support@systemhaus-vorort.de) oder telefonisch (+49 271 3388460-1) und vereinbaren einen zeitnahen Termin.

Sollten die betroffenen Systeme Teil eines Managed Service-Vertrags sein, wird dazu automatisch ein Ticket erstellt und wir setzten uns proaktiv mit Ihnen in Verbindung.

Sollten Sie die betroffenen Produkte als Service unserer K-loud nutzen, müssen Sie sich in diesem Fall um nichts mehr kümmern, die notwendigen Anpassungen werden von uns vorgenommen.