Você está visualizando atualmente Vmare Corrige Falhas de Segurança Graves em Produtos Workstation e Fusion

Vmare Corrige Falhas de Segurança Graves em Produtos Workstation e Fusion

Foram reveladas várias falhas de segurança nos produtos VMware Workstation e Fusion que poderiam ser exploradas por atores maliciosos para acessar informações sensíveis, desencadear uma condição de negação de serviço (DoS) e executar código em circunstâncias específicas. As quatro vulnerabilidades impactam as versões 17.x do Workstation e 13.x do Fusion, com correções disponíveis nas versões 17.5.2 e 13.5.2, respectivamente, afirmou o provedor de serviços de virtualização de propriedade da Broadcom.

Uma breve descrição de cada uma das falhas é a seguinte:

– CVE-2024-22267 (pontuação CVSS: 9.3) – Uma vulnerabilidade de uso pós-livre no dispositivo Bluetooth que poderia ser explorada por um ator malicioso com privilégios administrativos locais em uma máquina virtual para executar código como o processo VMX da máquina virtual em execução no host.

– CVE-2024-22268 (pontuação CVSS: 7.1) – Uma vulnerabilidade de estouro de buffer no heap na funcionalidade Shader que poderia ser explorada por um ator malicioso com acesso não administrativo a uma máquina virtual com gráficos 3D ativados para criar uma condição de DoS.

– CVE-2024-22269 (pontuação CVSS: 7.1) – Uma vulnerabilidade de divulgação de informações no dispositivo Bluetooth que poderia ser explorada por um ator malicioso com privilégios administrativos locais em uma máquina virtual para ler informações privilegiadas contidas na memória do hipervisor de uma máquina virtual.

– CVE-2024-22270 (pontuação CVSS: 7.1) – Uma vulnerabilidade de divulgação de informações na funcionalidade de Compartilhamento de Arquivos Host Convidado (HGFS) que poderia ser explorada por um ator malicioso com privilégios administrativos locais em uma máquina virtual para ler informações privilegiadas contidas na memória do hipervisor de uma máquina virtual.

Como soluções temporárias até que os patches possam ser implantados, os usuários são aconselhados a desativar o suporte Bluetooth na máquina virtual e desabilitar a funcionalidade de aceleração 3D. Não existem mitigações que abordem o CVE-2024-22270, exceto a atualização para a versão mais recente.

Vale ressaltar que o CVE-2024-22267, CVE-2024-22269 e CVE-2024-22270 foram originalmente demonstrados pela STAR Labs SG e Theori no concurso de hacking Pwn2Own realizado em Vancouver no início de março. O aviso vem mais de dois meses após a empresa lançar patches para corrigir quatro falhas de segurança que impactavam ESXi, Workstation e Fusion, incluindo duas falhas críticas que poderiam levar à execução de código.