Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad de denegación de servicio en VMware

Fecha de publicación: 10/10/2018

Importancia: Alta

Recursos afectados:

  • VMware vSphere ESXi (ESXi) cualquier versión y para cualquier plataforma.
  • VMware Workstation Pro / Player (Workstation) cualquier versión y para cualquier plataforma.
  • VMware Fusion Pro, Fusion (Fusion) cualquier versión de OS X.

Descripción:

VMware ESXi, Workstation y Fusion tienen una vulnerabilidad de denegación de servicio debido a un bucle infinito en un sombreador de renderizado 3D.

Solución:

VMware no ha publicado ningún parche para solucionar el problema, recomienda desactivar la función de aceleración 3D.

  • ESXi no lo tiene habilitado de forma predeterminada.
  • Workstation y Fusion lo tiene habilitado de forma predeterminada.

Detalle:

  • VMware ESXi, Workstation y Fusion tienen una vulnerabilidad de denegación de servicio debido a un bucle infinito en un sombreador de renderizado 3D, por la cual un atacante podría proporcionar un archivo de sombreado especialmente diseñado (ya sea en forma binaria o de texto) para activarla. Esta vulnerabilidad se puede desencadenar desde el invitado de VMware viéndose el host de VMware afectado (lo que hace que el proceso vmware-vmx.exe se bloquee en el host). Se ha asignado el identificador CVE-2018-6977 para esta vulnerabilidad.

Etiquetas: VMware, Vulnerabilidad