You have not selected any currencies to display

Bl0ckch41nnewsActualizaciones críticas para VMware ESXi, Workstation y Fusion

24


VMware ha lanzado parches para abordar cuatro fallas de seguridad que afectan
a ESXi, Workstation y Fusion, incluidas dos fallas críticas que podrían
provocar la ejecución de código.

Rastreadas como CVE-2024-22252 y CVE-2024-22253, las vulnerabilidades se han
descrito como errores de uso después de la liberación en el controlador USB
XHCI. Tienen una puntuación CVSS de 9,3 para Workstation y Fusion, y de 8,4
para sistemas ESXi.

«Un actor malicioso con privilegios administrativos locales en una máquina
virtual puede aprovechar este problema para ejecutar código como el proceso
VMX de la máquina virtual que se ejecuta en el host»
,
dijo la compañía en su aviso.

«En ESXi, la explotación está contenida dentro del entorno limitado de VMX,
mientras que, en Workstation y Fusion, esto puede llevar a la ejecución de
código en la máquina donde está instalado Workstation o Fusion».

A varios investigadores de seguridad asociados con Ant Group Light-Year
Security Lab y QiAnXin se les atribuye el mérito de descubrir e informar de
forma independiente CVE-2024-22252. Los investigadores de seguridad VictorV y
Wei han sido reconocidos por informar CVE-2024-22253.

El proveedor de servicios de virtualización propiedad de Broadcom también
solucionó otras dos deficiencias:

  • CVE-2024-22254 (puntuación CVSS: 7,9): una vulnerabilidad de escritura fuera
    de límites en ESXi que un actor malicioso con privilegios dentro del proceso
    VMX podría aprovechar para desencadenar un escape de sandbox.
  • CVE-2024-22255 (puntuación CVSS: 7,1): una vulnerabilidad de divulgación de
    información en el controlador USB UHCI que un atacante con acceso
    administrativo a una máquina virtual puede aprovechar para filtrar memoria
    del proceso vmx.

Los problemas se han solucionado en las siguientes versiones, incluidas
aquellas que han llegado al final de su vida útil (EoL) debido a la gravedad
de estos problemas:

Fuente:
THN



Source link

Los comentarios están cerrados.