Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de VMware

Fecha de publicación 18/03/2020
Importancia
4 - Alta
Recursos Afectados
  • VMware Workstation Pro / Player (Workstation);
  • VMware Fusion Pro / Fusion (Fusion);
  • VMware Remote Console para Mac (VMRC para Mac);
  • VMware Horizon Client para Mac;
  • VMware Horizon Client para Windows.
Descripción

Los investigadores, Jefball de GRIMM, Dhanesh Kizhakkinan de FireEye Inc. y Rich Mirch, han reportado dos vulnerabilidades, una de severidad alta y otra baja. Un atacante local podría realizar una elevación de privilegios o generar una condición de denegación de servicio.

Solución

VMware ha publicado una serie de actualizaciones que mitigan las vulnerabilidades.

  • Fusion, versión 11.X, actualizar a la versión 11.5.3;
  • VMRC para Mac, versiones 11.X y anteriores, actualizara la versión 11.0.1;
  • Horizon Client para Mac, versiones 5.X y anteriores, actualizar a la versión 5.4.0.
  • Workstation para Windows, versión 15.X, actualizar a la versión 15.5.2 (pro y player);
  • Horizon Client para Windows, versiones 5.X y anteriores, actualizar a la versión 5.4.0.
Detalle
  • La vulnerabilidad de criticidad alta, que afecta a VMware Fusion, VMRC para Mac y Horizon Client para Mac, es debida a un uso indebido de los binarios setuid. Un atacante local podría realizar una elevación de privilegios y obtener privilegios de root en el sistema afectado. Se ha asignado el identificador CVE-2020-3950 para esta vulnerabilidad.
  • A la vulnerabilidad de criticidad baja se le ha asignado el identificador CVE-2020-3951.

Encuesta valoración

Listado de referencias
VMSA-2020-0005
Etiquetas