Die nun geschlossene Schwachstelle CVE-2026-41702 in VMware Fusion gehört zur Kategorie Time-of-Check-Time-of-Use (TOCTOU). Sie tritt während eines Vorgangs auf, der von einer SETUID-Binärdatei ausgeführt wird. Nach Angaben der Sicherheitsmeldung kann ein Angreifer mit lokalen, nicht administrativen Benutzerrechten den Fehler nutzen, um seine Berechtigungen auf dem betroffenen System bis zur Root-Ebene auszuweiten. Entdeckt und gemeldet wurde die Lücke von Mathieu Farrell; der Hersteller stuft sie als „important" ein.
Broadcom kündigte die Veröffentlichung des Updates an, während das Unternehmen in dieser Woche am Hacking-Wettbewerb Pwn2Own in Berlin teilnimmt. VMware-Eigentümer Broadcom hat Mitglieder seines Sicherheitsteams zu der Veranstaltung entsandt, bei der Teilnehmer ESX-Exploits demonstrieren sollen. Dafür sind Prämien von bis zu 200.000 US-Dollar ausgelobt.
Möglicherweise folgen in den kommenden Tagen weitere Patches, da VMware-Produkte beim Wettbewerb gezielt angegriffen werden. VMware Workstation, das in den vergangenen Jahren erhebliche Preisgelder für Pwn2Own-Teilnehmer einbrachte, wurde von der Liste der Angriffsziele gestrichen.
Die Meldung von Broadcom erwähnt keine Hinweise darauf, dass CVE-2026-41702 bereits für Angriffe genutzt wird. Allerdings werden Schwachstellen in VMware-Produkten häufig in freier Wildbahn ausgenutzt: Der KEV-Katalog der US-Behörde CISA führt derzeit 26 VMware-Schwachstellen.