VMware parcha vulnerabilidades críticas

02 Abril 2019
Crítico

VMware lanzó una actualización para corregir cinco vulnerabilidades críticas que afectan a sus productos vSphere ESX-i, VMware Workstation Pro/Player y VMware Fusion Pro/Fusion.

El grupo, autodenominado Fluoroacetate, explotó dos de estos fallos durante el concurso Pwn2Own, que se realizó en la conferencia de ciberseguridad CanSecWest de Canadá. Uno es de lectura/escritura out-of-bounds y otro de time-of-use (TOCTOU) en la interfaz del controlador de host virtual, usado por ESXi, Workstation y Fusion.

Otras dos vulnerabilidades abordan problemas de escritura out-of-bounds en los VMware Workstation y Fusion e1000 y e1000e. Ambos permiten la ejecución de código en el host de un invitado, lo que puede resultar en un ataque de denegación de servicio (DoS) en el equipo virtual invitado.

Y el último fallo se encuentra en el producto Fusion, que permite el acceso a un menú de apps a través de un socket web, que proviene de una interfaz de programación de aplicaciones no autenticada (API). Un atacante podría engañar al usuario del host para que ejecute JavaScript malicioso, el que a su vez, podría manejar el equipo virtual invitado a través de VMware Tools.

Se recomienda actualizar cuanto antes los productos de VMware afectados.

El listado de las CVE se adjunta a continuación:


Tags: #vmware #vsphereesxi #worksation #workstationpro #workstationplayer #fision #fusionpro #fluoracetate #dos #equipovirtual #javascript


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.