Múltiples vulnerabilidades en productos VMware
- VMware ESXi, versiones 7.0, 6.7 y 6.5;
- VMware Workstation Pro / Player (Workstation), versiones 15.x;
- VMware Fusion Pro / Fusion (Fusion), versiones 11.x;
- VMware Cloud Foundation, versiones 4.x y 3.x.
VMware ha informado de múltiples vulnerabilidades en VMware ESXi, Workstation, y Fusion. En total se han notificado 10 vulnerabilidades siendo 1 crítica, 5 altas y 4 medias.
Se recomienda instalar los últimos parches para los productos afectados en función de la versión estable utilizada:
- VMware ESXi: ESXi_7.0.0-1.20.16321839, o ESXi670-202004101-SG, o ESXi650-202005401-SG.
- VMware Workstation Pro / Player (Workstation): 15.5.5.
- VMware Fusion Pro / Fusion (Fusion): 11.5.5.
- VMware Cloud Foundation: 4.0.1 (pendiente de publicación), o 3.10 o 3.10.0.1 (pendiente de publicación).
La vulnerabilidad más crítica de las informadas por VMware permitiría a un atacante con acceso local a una máquina virtual con gráficos 3D habilitados ejecutar código en el hipervisor desde la propia máquina virtual por medio de una vulnerabilidad de tipo “use-after-free” en la que se use memoria después de liberación en un dispositivo SVGA. Se ha asignado el identificador CVE-2020-3962 para esta vulnerabilidad.
Otros identificadores asignados para el resto de vulnerabilidades son CVE-2020-3963, CVE-2020-3964, CVE-2020-3965, CVE-2020-3966, CVE-2020-3967, CVE-2020-3968, CVE-2020-3969, CVE-2020-3970 y CVE-2020-3971.