Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/05/29

Garrantzia: Altua

Katetutako baliabideak:

• VMware ESXi, 6.7 eta 6.5 bertsioak;
• VMware Workstation Pro / Player (Workstation), 15.X bertsioa;
• VMware Fusion Pro / Fusion (Fusion), 11.X bertsioa;
• Mac-erako VMware Remote Console (Mac-erako VMRC), 11.X eta lehenagoko bertsioak;
• Mac-erako VMware Horizon Client, 5.X eta lehenagoko bertsioak.

Azalpena:

Zibersegurtasuneko hainbat ikertzailek VMware-ri kritikotasun altu, ertain eta baxuko hiru ahultasunen berri eman diote, pribilegioen eskalatze, sarbidearen kontrol desegoki eta sistemaren ustekabeko itxiera erakoak.

Konponbidea:

VWwarek hainbat eguneraketa argitaratu ditu, kaltetutako produktu eta bertsioen arabera. Eguneraketa zehatza eskuratzeko Erreferentziak atala kontsultatu.

Xehetasuna:

• Kritikotasun altuko ahultasunak VMware Fusion, Mac-erako VMRC eta Mac-erako Horizon Client produktuei eragiten die. Produktu horiek pribilegioen eskalatze lokal erako ahultasun bat daukate, service opener-en Time-of-check Time-of-use-k (TOCTOU) duen akats baten ondorioz. Pribilegio normalak dituen erasotzaile batek pribilegioen eskalatzea egin lezake eta sisteman root pribilegioak eskuratu. Ahultasun horretarako CVE-2020-3957 identifikatzailea erreserbatu da.
• Kritikotasun ertain eta baxuko ahultasunetarako CVE-2020-3958 eta CVE-2020-3959 identifikatzaileak erreserbatu dira, hurrenez hurren.

Etiketak: Eguneraketa, VMware, Ahultasuna