- VMware View innehåller en kritisk biblioteksöverspännande sårbarhet som låter en ej godkänd användare att på distans hämta valfria filer från drabbade View-servrar, skriver VMware på sin säkerhetsblogg.

Sårbarheten har upptäckts av det amerikanska riskanalysföretaget Digital Defense under en genomgång i oktober. I testerna har en gästanvändare som fått tillgång till vissa filer på en virtuell maskin även kunnat beordra den maskinen att hämta andra filer som användaren inte bör ha tillgång till.

I praktiken kan externa användare få tillgång till filer på det interna nätverket, exempelvis för att plocka fram lösenordshashar.

Drabbade versioner av VMware View är samtliga 4.x-versioner före 4.6.2 och 5.x före version 5.1.2. VMware uppmanar nu sina View-användare att uppdatera sin mjukvaran så snart det är möjligt och för de som inte kan uppdatera råds användarna stänga av Security Server.