Lücke in VMware ESXi, Fusion und Workstation wird missbraucht

In den Virtualisierungsplattformen VMware ESXi, Fusion und Workstation wurden Sicherheitslücken entdeckt, die es Angreifern ermöglichen, aus virtuellen Maschinen auszubrechen – und das bereits aktiv ausgenutzt in der Praxis. Die Entwickler haben aktualisierte Versionen bereitgestellt, um die Schwachstellen zu beheben. Administratoren sollten die Sicherheitsupdates umgehend einspielen.

In einer Sicherheitsmitteilung zu den betroffenen Produkten erklärt Broadcom die Hintergründe der Sicherheitslücken. Besonders gravierend ist eine sogenannte Time-of-Check-to-Time-of-Use-Schwachstelle (TOCTOU), die zu Schreibzugriffen außerhalb der vorgesehenen Speicherbereiche führen kann. Dies resultiert in einem Heap-Überlauf, bei dem Angreifer mit Administratorrechten innerhalb einer virtuellen Maschine beliebigen Code im VMX-Prozess des Hosts ausführen können (CVE-2025-22224, CVSS 9.3, kritisch).

Eine weitere Lücke erlaubt beliebige Schreibzugriffe, die Angreifern mit entsprechenden Berechtigungen im VMX-Prozess das Ausbrechen aus der VM-Sandbox ermöglichen (CVE-2025-22225, CVSS 8.2, hoch). Die dritte Schwachstelle ermöglicht durch unsichere Lesezugriffe im Host-Guest-Filesystem (HGFS) das unbefugte Auslesen von Speicherbereichen aus dem VMX-Prozess (CVE-2025-22226, CVSS 7.1, hoch).

Broadcom bestätigt, dass alle drei Sicherheitslücken bereits aktiv von Angreifern ausgenutzt werden. Temporäre Workarounds existieren nicht – die einzige Gegenmaßnahme besteht darin, die bereitgestellten Patches unverzüglich zu installieren.

Updates stehen für folgende Versionen zur Verfügung:

• VMware ESXi 7.0 (70U3s), 8.0 (80U2d & 80U3d)
• VMware Workstation 17.x (17.6.3)
• VMware Fusion 13.x (13.6.3)
• VMware Cloud Foundation 4.5.x (70U3s) und 5.x (80U3d)
• VMware Telco Cloud Platform 2.x, 3.x, 4.x, 5.x
• VMware Telco Cloud Infrastructure 2.x und 3.x

Weitere Details und Download-Links sind in der Sicherheitsmitteilung (KB389385) von Broadcom zu finden.