VMware corrige vulnerabilidad crítica en Workstation y Fusion

  • 0 Respuestas
  • 367 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 814
  • Actividad:
    100%
  • Country: 00
  • Reputación 15
    • Ver Perfil
    • Email
You are not allowed to view links. Register or Login

VMware lanzó actualizaciones de seguridad para corregir múltiples vulnerabilidades en VMware ESXi, Workstation y Fusion, y una de ellas es un error crítico en las configuraciones predeterminadas de Workstation y Fusion con gráficos 3D habilitados.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) también emitió una alerta hoy advirtiendo que un "atacante podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado", y alentando a los usuarios y administradores a actualizar lo antes posible.

Vulnerabilidad crítica con un puntaje base de 9.3 CVSSv3


El problema crítico de seguridad rastreado como CVE-2020-3962 es una falla de uso libre en el dispositivo SVGA que podría permitir a los atacantes locales ejecutar código arbitrario en el hipervisor desde una máquina virtual después de una explotación exitosa.

CVE-2020-3962 fue reportado por los investigadores de seguridad de Synacktiv Corentin Bayet y Bruno Pujos a la Iniciativa Zero Day de Trend Micro durante el concurso de pirateo informático Pwn2Own 2020.

Para bloquear los ataques diseñados para abusar de esta vulnerabilidad, se recomienda a los usuarios de VMware Workstation (Pro y Player) y VMware Fusion (Pro) actualizar de inmediato a la versión 15.5.5, mientras que los clientes de VMware ESXi deben actualizar a ESXi_7.0.0-1.20.16321839, ESXi670 -202004101-SG o ESXi650-202005401-SG.

VMware también proporcionó una solución alternativa para los usuarios que no pueden actualizar inmediatamente sus instalaciones, lo que requiere deshabilitar la aceleración de gráficos 3D apagando la máquina virtual, yendo a VM> Configuración> Hardware> Pantalla y desmarcando "Acelerar gráficos 3D".

Defectos importantes y moderados de gravedad.


VMware corrigió otras nueve vulnerabilidades de seguridad (CVE-2020-3963, CVE-2020-3964, CVE-2020-3965, CVE-2020-3966, CVE-2020-3967, CVE-2020-3968, CVE-2020-3969, CVE -2020-3970, CVE-2020-3971) impactando ESXi, Workstation y Fusion, con puntajes base CVSSv3 que van desde 4.0 a 8.1.

Después de explotar con éxito estas fallas, los atacantes con acceso local a una máquina virtual (con privilegios de administrador en algunos casos) podrían ejecutar código en el hipervisor desde la VM, desencadenar una condición de denegación de servicio (DoS), leer información privilegiada en el hipervisor memoria o en memoria física.

En algunos casos, "[a] condiciones adicionales más allá del control del atacante deben estar presentes para que la explotación sea posible" según el aviso de VMware.

VMware proporciona enlaces a descargas de actualizaciones de seguridad que abordan todos los problemas que afectan a los productos VMware ESXi, Workstation y Fusion.

En abril, VMware corrigió una vulnerabilidad crítica en la plataforma de administración de infraestructura virtual de vCenter Server que podría haber permitido a los atacantes tomar el control de los dispositivos virtuales o sistemas Windows afectados.

VMware emitió otra actualización de seguridad en marzo para abordar una vulnerabilidad crítica en VMware Workstation Pro que permite a los atacantes lanzar ataques DoS o ejecutar comandos en el host de Windows.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

 

Sudo Bug: Vulnerabilidad de sudo (CVE-2019-18634)

Iniciado por Dragora

Respuestas: 0
Vistas: 968
Último mensaje Febrero 04, 2020, 12:25:03 pm
por Dragora
Vulnerabilidad en TLS 1.3 permite "escuchar" tráfico cifrado

Iniciado por AXCESS

Respuestas: 0
Vistas: 1268
Último mensaje Febrero 18, 2019, 02:55:11 pm
por AXCESS
Adobe CC en Windows 10: Vulnerabilidad Time-of-check Time-of-use (TOCTTOU)

Iniciado por Dragora

Respuestas: 0
Vistas: 496
Último mensaje Marzo 26, 2020, 02:08:42 am
por Dragora
Vulnerabilidad de Firefox permite que HTML robe otros archivos del dispositivo

Iniciado por Dragora

Respuestas: 0
Vistas: 720
Último mensaje Julio 04, 2019, 01:57:41 pm
por Dragora
Vulnerabilidad en Dropbox, Google Drive y OneDrive que puede atacar sin clave

Iniciado por graphixx

Respuestas: 1
Vistas: 2839
Último mensaje Agosto 12, 2015, 03:44:55 pm
por Nobody