Noticias

Noticias
Hits: 103

VMware lanza parches críticos para el software Workstation y Fusion

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

VMware ha lanzado actualizaciones para resolver múltiples fallos de seguridad que afectan a su software Workstation y Fusion, el más crítico de los cuales podría permitir a un atacante local ejecutar código.

La vulnerabilidad, identificada como CVE-2023-20869 (puntuación CVSS: 9.3), se describe como una vulnerabilidad de desbordamiento de búfer basada en la pila que reside en la funcionalidad para compartir dispositivos Bluetooth del host con la máquina virtual.

 

"Un actor malicioso con privilegios administrativos locales en una máquina virtual puede aprovechar este problema para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host", dijo la compañía.

VMware también ha corregido una vulnerabilidad de lectura fuera de los límites que afecta a la misma función (CVE-2023-20870, puntuación CVSS: 7.1), que podría ser explotada por un adversario local con privilegios de administrador para leer información sensible contenida en la memoria del hipervisor de una máquina virtual.

VMware también ha parcheado dos deficiencias adicionales, que incluyen una falla de escalada de privilegios local (CVE-2023-20871, puntuación CVSS: 7.3) en Fusion y una vulnerabilidad de lectura/escritura fuera de los límites en la emulación de dispositivos SCSI CD/DVD (CVE-2023-20872, puntuación CVSS: 7.7).

Si bien el primero podría permitir a un actor malintencionado con acceso de lectura/escritura al sistema operativo del host obtener acceso root, el último podría resultar en la ejecución de código arbitrario.

Las vulnerabilidades han sido abordadas en la versión 17.0.2 de Workstation y la versión 13.0.2 de Fusion. Como solución temporal para CVE-2023-20869 y CVE-2023-20870, VMware sugiere que los usuarios desactiven el soporte de Bluetooth en la máquina virtual.

En cuanto a la mitigación de CVE-2023-20872, se recomienda quitar el dispositivo CD/DVD de la máquina virtual o configurar la máquina virtual para que no use un controlador SCSI virtual.

Este anuncio se produce menos de una semana después de que el proveedor de servicios de virtualización corrigiera una falla crítica de deserialización que afectaba a varias versiones de Aria Operations for Logs (CVE-2023-20864, puntuación CVSS: 9.8).

Fuente: https://thehackernews.com/2023/04/vmware-releases-critical-patches-for.html

Rating:
( 0 Rating )

Búscar

Últimas Noticias

Información

CSIRT CELEC EP

Respuesta a Incidentes de Ciberseguridad (Análisis, Gestión, Coordinación) de nuestra Comunidad Objetivo.

Dirección: Panamericana Norte Km 7 Cuenca-Ecuador

Zona horaria: América / Guayaquil (GMT-0500)

Teléfono: +593 02 2900400  Ext: 3119

 

Últimas Noticias

Csirts Ecuador

Acceso Rápido

Search