Você está visualizando atualmente Vmware Corrige Falhas de Segurança Graves nos Produtos Workstation e Fusion

Vmware Corrige Falhas de Segurança Graves nos Produtos Workstation e Fusion

Foram divulgadas múltiplas falhas de segurança nos produtos VMware Workstation e Fusion que podem ser exploradas por atacantes para acessar informações sensíveis, desencadear uma condição de negação de serviço (DoS) e executar código em determinadas circunstâncias. As quatro vulnerabilidades impactam as versões 17.x do Workstation e 13.x do Fusion, com correções disponíveis nas versões 17.5.2 e 13.5.2, respectivamente, conforme declarado pelo provedor de serviços de virtualização de propriedade da Broadcom. Uma breve descrição de cada uma das falhas é dada a seguir:

– CVE-2024-22267 (CVSS score: 9.3) – Uma vulnerabilidade de uso após liberação no dispositivo Bluetooth que poderia ser explorada por um ator malicioso com privilégios administrativos locais em uma máquina virtual para executar código como o processo VMX da máquina virtual em execução no host.
– CVE-2024-22268 (CVSS score: 7.1) – Uma vulnerabilidade de overflow de buffer de heap na funcionalidade Shader que poderia ser explorada por um ator malicioso com acesso não administrativo a uma máquina virtual com gráficos 3D habilitados para criar uma condição de DoS.
– CVE-2024-22269 (CVSS score: 7.1) – Uma vulnerabilidade de divulgação de informações no dispositivo Bluetooth que poderia ser explorada por um ator malicioso com privilégios administrativos locais em uma máquina virtual para ler informações privilegiadas contidas na memória do hipervisor de uma máquina virtual.
– CVE-2024-22270 (CVSS score: 7.1) – Uma vulnerabilidade de divulgação de informações na funcionalidade de Compartilhamento de Arquivos entre Host e Convidado (HGFS) que poderia ser explorada por um ator malicioso com privilégios administrativos locais em uma máquina virtual para ler informações privilegiadas contidas na memória do hipervisor de uma máquina virtual.

Como soluções temporárias até que os patches possam ser implementados, os usuários são aconselhados a desativar o suporte Bluetooth na máquina virtual e desabilitar a função de aceleração 3D. Não há mitigação para a CVE-2024-22270 além da atualização para a versão mais recente.

Vale ressaltar que as CVE-2024-22267, CVE-2024-22269 e CVE-2024-22270 foram originalmente demonstradas pela STAR Labs SG e Theori na competição de hacking Pwn2Own realizada em Vancouver no início de março. O aviso vem mais de dois meses depois que a empresa lançou patches para corrigir quatro falhas de segurança que afetam o ESXi, Workstation e Fusion, incluindo duas falhas críticas que poderiam levar à execução de código.