#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

VMWARE-SCHOCK! Fusion-Luecke macht JETZT JEDEN Mac-User zum Root — Update auf 26H1 ist Pflicht

VMWARE-SCHOCK! Fusion-Luecke macht JETZT JEDEN Mac-User zum Root — Update auf 26H1 ist Pflicht

UNGLAUBLICH: Lokaler User wird JETZT Root — alles wegen Fusion!

Wer auf seinem Mac VMware Fusion betreibt — fuer Windows-VMs, Linux-Builds oder Pentest-Labs — sollte heute ein Update einspielen. Broadcom hat am 14. Mai 2026 die Advisory VMSA-2026-0003 mit der CVE-2026-41702 veroeffentlicht. Lokaler User wird Root.

SCHOCK: Eine Race-Condition reicht — kein Admin-Zugriff noetig!

Die Luecke ist eine TOCTOU-Race (Time-of-Check Time-of-Use) in einem SETUID-Binary, das Fusion fuer privilegierte Operationen mitliefert. Ein Standard-User-Prozess kann durch ein gezieltes Timing zwischen Pruefung und Nutzung dem Binary unterjubeln, dass es einen anderen Pfad oeffnet — am Ende laeuft Code als Root.

Wichtig: Keine Admin-Rechte noetig. Kein Remote-Angriff. Aber jeder Prozess mit normalen User-Rechten — auch ein gestartetes npm install mit boesartiger Dependency, ein neugieriges Shell-Skript oder ein VPN-Client, der schon kompromittiert ist — kann das ausnutzen.

GEFAHR! CVSS 7.8 = sehr hoch fuer eine lokale Luecke!

Klassische LPEs in macOS-Anwendungen liegen meist bei CVSS 5.x oder 6.x. Eine 7.8 zeigt: Broadcom selbst stuft das Risiko als hoch ein. Wer Multi-User-Macs betreibt (Macs in Schul-Laboren, Co-Working-Spaces, Familien-Macs) hat hier ein konkretes Problem.

So patchst du in 5 MINUTEN!

  1. VMware Fusion oeffnen, im Menue Fusion > Check for Updates.
  2. Wenn Version 25H2 angezeigt wird: Update auf 26H1 einspielen.
  3. Mac neustarten — Fusion-Helper-Prozesse werden frisch geladen.
  4. Im Terminal pruefen: defaults read /Applications/VMware Fusion.app/Contents/Info.plist CFBundleShortVersionString. Sollte 26H1 anzeigen.

EXTRA-TIPP: Workaround? GIBT ES NICHT!

Broadcom schreibt im Advisory ausdruecklich: Es gibt keinen Workaround. Wer 25H2 fahren MUSS (weil Software-Kompatibilitaet), kann das SETUID-Bit am Helper-Binary entfernen — verliert dann aber Funktionen wie Bridged Networking oder VPN-Treiber. Besser einfach updaten.

Credit: Die Luecke wurde von Mathieu Farrell (@coiffeur0x90) verantwortungsvoll an Broadcom gemeldet — Beispiel fuer saubere Responsible Disclosure.

FAZIT: Mac-Pentester und Software-Studios SOFORT updaten!

VMware Fusion ist auf jedem zweiten Developer-Mac installiert, vor allem in Pentest-Labs und Cross-Platform-Studios. Wer das laesst, ist eine Backdoor fuer jede kompromittierte Dependency. Update einspielen, weitermachen.

Häufige Fragen

Welche Versionen sind betroffen?
Alle Mac-User mit VMware Fusion 25H2 auf macOS. Fusion 26H1 enthält den Fix. Frühere Versionen wie 13.x sind nach offiziellem End-of-Maintenance nicht mehr supported und sollten so oder so ausgemustert werden.
Wie merke ich, ob mein System verwundbar ist?
Im Fusion-Menü unter About VMware Fusion die Version checken — wer 25H2 sieht, ist verwundbar. Wer schon 26H1 anzeigt, ist sicher. Alternativ im Terminal: defaults read /Applications/VMware\ Fusion.app/Contents/Info.plist CFBundleShortVersionString.
Wie behebe ich das Problem konkret?
Update über die Fusion-In-App-Funktion (Check for Updates) oder Download des 26H1-Installers von der Broadcom-Support-Seite. Nach dem Update Mac neustarten, damit alle Helper-Prozesse frisch geladen werden. Vorher VMs sauber herunterfahren.
Gab es schon aktive Angriffe?
Bisher keine bekannte Ausnutzung in der freien Wildbahn. Die Lücke wurde verantwortungsvoll an Broadcom gemeldet. Aber: Lokale Privilege Escalations werden gern in Multi-Stage-Angriffen kombiniert — wer Mac-Endpoints schützt, sollte zügig patchen, bevor jemand einen Public Exploit veröffentlicht.

Quellen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert