VMware corrige vulnerabilidades críticas en ESXi, Workstation y Fusion

  • 0 Respuestas
  • 1194 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 789
  • Actividad:
    100%
  • Country: 00
  • Reputación 15
    • Ver Perfil
    • Email
You are not allowed to view links. Register or Login

VMware lanzó varias actualizaciones hoy para abordar cinco vulnerabilidades de gravedad crítica en VMware vSphere ESXi, VMware Workstation Pro / Player y VMware Fusion Pro / Fusion, dos de las cuales fueron usadas en sus demostraciones por Fluoroacetate durante el Concurso de Seguridad Pwn2Own 2019.

Los dos primeros afectaron a VMware ESXi, Workstation y Fusion, y fueron informados por el equipo de Fluoroacetate (Amat Cama y Richard Zhu) después del primer y segundo día del Pwn2Own Security Contest de este año.

Las vulnerabilidades solucionadas podrían conducir a la ejecución de código y ataques DoS


Más exactamente, utilizaron una vulnerabilidad de lectura / escritura fuera de los límites (ahora rastreada como CVE-2019-5518) y una vulnerabilidad de tiempo de uso (TOCTOU) que afecta a la UHCI virtual USB 1.1 (host universal). Interfaz del controlador) (rastreado como CVE-2019-5519) para ejecutar con éxito el código en el host desde el invitado.

Otra vulnerabilidad de gravedad crítica de escritura fuera de los límites, reportada por Zhangyanyu de Chaitin Tech, en el adaptador de red virtual e1000 (CVE-2019-5524) afecta a VMware Workstation y Fusion, y puede permitir que un invitado ejecute código, en la ejecución del código del sistema operativo host.

VMware Workstation y Fusion también se encontraron expuestos a una importante vulnerabilidad de "escritura fuera de los límites en los adaptadores de red virtuales e1000 y e1000e" informados por ZhanluLab (rastreados como CVE-2019-5515), lo que lleva "a la ejecución del código en el anfitrión del invitado, pero es más probable que resulte en una denegación de servicio del huésped ".

Un problema de seguridad de las API no autenticado, causado por las API no autenticadas abiertas, para acceder a través de un socket web, se encontró en VMware Fusion; una falla que permitiría a posibles atacantes engañar a un usuario host para que ejecute código JavaScript "para realizar funciones no autorizadas en la máquina invitada”.

Actualizaciones de software disponibles para todas las versiones vulnerables

Según el aviso de seguridad VMSA-2019-0005 de VMware, CodeColorist y Csaba Fitzl informaron este último problema, y actualmente se está rastreando como CVE-2019-5514.

Para abordar todas estas vulnerabilidades de gravedad críticas e importantes, VMware ha lanzado parches para ESXi 6.0.0, 6.5.0 y 6.7.0, y VMware Workstation 15.0.4 y 14.1.7 (Pro and Player) y Fusion 11.0.3. & 10.1.6.

VMware también lanzó un aviso de seguridad que detalla una vulnerabilidad de Hijack de sesión remota de gravedad crítica que afecta a VMware vCloud Director para proveedores de servicios (vCD) versión 9.5.x.

Este problema de seguridad se rastrea como CVE-2019-5523, se solucionó en la versión vCD 9.5.0.3 y fue informado por Tyler Flaagan, Eric Holm, Andrew Kramer y Logan Stratton de la Universidad Estatal de Dakota.

Fuente:
Bleepingcomputer
You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

 

Hackers violan E27, quieren "donación" por vulnerabilidades

Iniciado por AXCESS

Respuestas: 0
Vistas: 1130
Último mensaje Junio 27, 2020, 12:23:30 am
por AXCESS
Ahora que Intel parchea Spectre y Meltdown, aparecen nuevas vulnerabilidades

Iniciado por graphixx

Respuestas: 0
Vistas: 1915
Último mensaje Marzo 05, 2018, 07:08:04 pm
por graphixx
Microsoft lanza parches de seguridad de junio de 2020 para 129 vulnerabilidades

Iniciado por Dragora

Respuestas: 0
Vistas: 277
Último mensaje Junio 13, 2020, 08:20:41 pm
por Dragora
Vulnerabilidades en chip Qualcomm permite robar datos privados en Android

Iniciado por K A I L

Respuestas: 0
Vistas: 667
Último mensaje Noviembre 14, 2019, 11:53:10 am
por K A I L
Actualiza tus drivers de tarjetas gráficas NVIDIA para corregir vulnerabilidades

Iniciado por Dragora

Respuestas: 0
Vistas: 193
Último mensaje Agosto 07, 2019, 01:01:51 pm
por Dragora