VMware corrige vulnerabilidades críticas en ESXi, Workstation y Fusion

  • 0 Respuestas
  • 1211 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 920
  • Actividad:
    100%
  • Country: 00
  • Reputación 16
    • Ver Perfil
    • Email


VMware lanzó varias actualizaciones hoy para abordar cinco vulnerabilidades de gravedad crítica en VMware vSphere ESXi, VMware Workstation Pro / Player y VMware Fusion Pro / Fusion, dos de las cuales fueron usadas en sus demostraciones por Fluoroacetate durante el Concurso de Seguridad Pwn2Own 2019.

Los dos primeros afectaron a VMware ESXi, Workstation y Fusion, y fueron informados por el equipo de Fluoroacetate (Amat Cama y Richard Zhu) después del primer y segundo día del Pwn2Own Security Contest de este año.

Las vulnerabilidades solucionadas podrían conducir a la ejecución de código y ataques DoS


Más exactamente, utilizaron una vulnerabilidad de lectura / escritura fuera de los límites (ahora rastreada como CVE-2019-5518) y una vulnerabilidad de tiempo de uso (TOCTOU) que afecta a la UHCI virtual USB 1.1 (host universal). Interfaz del controlador) (rastreado como CVE-2019-5519) para ejecutar con éxito el código en el host desde el invitado.

Otra vulnerabilidad de gravedad crítica de escritura fuera de los límites, reportada por Zhangyanyu de Chaitin Tech, en el adaptador de red virtual e1000 (CVE-2019-5524) afecta a VMware Workstation y Fusion, y puede permitir que un invitado ejecute código, en la ejecución del código del sistema operativo host.

VMware Workstation y Fusion también se encontraron expuestos a una importante vulnerabilidad de "escritura fuera de los límites en los adaptadores de red virtuales e1000 y e1000e" informados por ZhanluLab (rastreados como CVE-2019-5515), lo que lleva "a la ejecución del código en el anfitrión del invitado, pero es más probable que resulte en una denegación de servicio del huésped ".

Un problema de seguridad de las API no autenticado, causado por las API no autenticadas abiertas, para acceder a través de un socket web, se encontró en VMware Fusion; una falla que permitiría a posibles atacantes engañar a un usuario host para que ejecute código JavaScript "para realizar funciones no autorizadas en la máquina invitada”.

Actualizaciones de software disponibles para todas las versiones vulnerables

Según el aviso de seguridad VMSA-2019-0005 de VMware, CodeColorist y Csaba Fitzl informaron este último problema, y actualmente se está rastreando como CVE-2019-5514.

Para abordar todas estas vulnerabilidades de gravedad críticas e importantes, VMware ha lanzado parches para ESXi 6.0.0, 6.5.0 y 6.7.0, y VMware Workstation 15.0.4 y 14.1.7 (Pro and Player) y Fusion 11.0.3. & 10.1.6.

VMware también lanzó un aviso de seguridad que detalla una vulnerabilidad de Hijack de sesión remota de gravedad crítica que afecta a VMware vCloud Director para proveedores de servicios (vCD) versión 9.5.x.

Este problema de seguridad se rastrea como CVE-2019-5523, se solucionó en la versión vCD 9.5.0.3 y fue informado por Tyler Flaagan, Eric Holm, Andrew Kramer y Logan Stratton de la Universidad Estatal de Dakota.

Fuente:
Bleepingcomputer
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-vulnerabilities-in-esxi-workstation-and-fusion/


 

Hackers violan E27, quieren "donación" por vulnerabilidades

Iniciado por AXCESS

Respuestas: 0
Vistas: 1208
Último mensaje Junio 27, 2020, 12:23:30 am
por AXCESS
Actualiza tus drivers de tarjetas gráficas NVIDIA para corregir vulnerabilidades

Iniciado por Dragora

Respuestas: 0
Vistas: 221
Último mensaje Agosto 07, 2019, 01:01:51 pm
por Dragora
Microsoft lanza parches de seguridad de junio de 2020 para 129 vulnerabilidades

Iniciado por Dragora

Respuestas: 0
Vistas: 327
Último mensaje Junio 13, 2020, 08:20:41 pm
por Dragora
Drupal lanza actualizaciones de Core CMS para parchar varias vulnerabilidades

Iniciado por Dragora

Respuestas: 0
Vistas: 857
Último mensaje Abril 23, 2019, 12:31:58 pm
por Dragora
Vulnerabilidades en chip Qualcomm permite robar datos privados en Android

Iniciado por K A I L

Respuestas: 0
Vistas: 716
Último mensaje Noviembre 14, 2019, 11:53:10 am
por K A I L