В середине мая 2026 года компания Broadcom, которая теперь отвечает за продукты VMware, выпустила предупреждение об опасной уязвимости в среде виртуализации Fusion. Проблема, получившая идентификатор CVE-2026-41702, позволяет локальному злоумышленнику без прав администратора повысить свои привилегии до уровня суперпользователя (root). Такая атака даёт полный контроль над затронутой машиной, включая возможность выполнения произвольных команд, изменения защищённых файлов и внедрения вредоносного кода для закрепления в системе.
Уязвимость CVE-2026-41702
Уязвимость получила высокую оценку по шкале CVSS (системы оценки критичности уязвимостей) - 7,8 балла из десяти. Это говорит о серьёзной опасности в реальных условиях эксплуатации. Причина кроется в так называемой "гоночной ситуации" типа TOCTOU (Time-of-Check Time-of-Use) в двоичном файле с установленным битом SETUID. Данный тип неполадки возникает, когда система проверяет некоторое условие, но затем использует результат, не убедившись, что состояние не изменилось. В результате злоумышленник успевает подменить данные между проверкой и использованием, что открывает путь к повышению привилегий.
Исследователь безопасности Матье Фаррелл (Mathieu Farrell) ответственно сообщил об уязвимости разработчикам. На момент публикации предупреждения не было подтверждённых случаев активной эксплуатации этой ошибки в реальных атаках. Тем не менее, сам вектор атаки отличается низкой сложностью: злоумышленнику достаточно иметь локальный доступ к системе, при этом не требуется никаких действий со стороны пользователя. Это делает уязвимость особенно опасной в общих или корпоративных средах, где на одной машине работают несколько человек или запущены виртуальные машины с разными уровнями доступа.
Проблема затрагивает VMware Fusion версии 25H2 на всех поддерживаемых платформах. В зоне риска находятся как организации, так и частные пользователи, использующие Fusion для виртуализации: разработки, тестирования, запуска приложений в изолированной среде (песочнице). Особенно уязвимы те, кто не обновляет программное обеспечение своевременно.
Компания Broadcom уже выпустила исправление в версии VMware Fusion 26H1. Важно отметить, что на данный момент не существует никаких обходных путей или временных мер защиты. Единственным эффективным способом предотвратить атаку является установка обновления.
Характеристики этой уязвимости - низкая сложность эксплуатации, отсутствие необходимости во взаимодействии с пользователем и высокое влияние на конфиденциальность, целостность и доступность данных - делают её привлекательной для злоумышленников, которые уже получили начальный доступ к системе. В корпоративных сетях такие уязвимости часто объединяют с другими для полного захвата инфраструктуры.
Специалисты по кибербезопасности настоятельно рекомендуют как можно скорее обновить VMware Fusion до версии 26H1. Кроме того, организациям следует ужесточить контроль доступа, ограничить привилегии локальных пользователей и настроить мониторинг подозрительной активности, которая может указывать на попытки эксплуатации уязвимости. Например, внезапное повышение прав процесса или необычные обращения к системным файлам должны вызывать тревогу.
Этот инцидент в очередной раз напоминает об опасности уязвимостей локального повышения привилегий, особенно в широко распространённых платформах виртуализации. Злоумышленники всё чаще нацеливаются на инструменты разработчиков и среды для запуска виртуальных машин. Поэтому своевременное обновление и активный мониторинг остаются ключевыми элементами защиты. Для тех, кто не может установить патч немедленно, следует как минимум минимизировать количество пользователей с локальным доступом к системе, где запущен VMware Fusion, и временно отключить функции, требующие повышенных привилегий, если это возможно.
К сожалению, в данном случае нет простого способа обезопаситься без установки исправления. Разработчики закрыли проблему, и теперь ответственность ложится на администраторов и пользователей. Те, кто пропустит обновление, рискуют столкнуться с тем, что злоумышленник, уже проникший в систему, получит полный контроль над ней без каких-либо дополнительных усилий. В условиях, когда атаки на цепочки поставок и разработку становятся всё более изощрёнными, подобные уязвимости в инструментах виртуализации представляют собой серьёзную угрозу.
Помимо обновления, эксперты советуют внедрить политику наименьших привилегий: давать пользователям только те права, которые необходимы для выполнения их задач. Также полезно использовать системы обнаружения вторжений (IDS) на уровне хоста, которые могут заметить попытку использования уязвимости при срабатывании SETUID-бита. В идеале следует регулярно проводить аудит прав доступа и проверять, не установлены ли устаревшие версии программного обеспечения, особенно если оно используется для изоляции рабочих нагрузок.
Подводя итог, можно сказать, что уязвимость CVE-2026-41702 в VMware Fusion - это яркий пример того, как элементарная ошибка в логике проверки и использования данных способна поставить под угрозу целые инфраструктуры. Даже при отсутствии подтверждённых атак на данный момент, характеристики уязвимости делают её крайне перспективной для злоумышленников. Поэтому игнорировать это предупреждение нельзя. Обновление до версии 26H1 должно быть выполнено как можно раньше, а меры предосторожности - усилены.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-41702
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37454
