Publicado el 19 mayo 2017

Múltiples vulnerabilidades en productos de VMware

Fecha de publicación: 19/05/2017

Importancia:
Alta

Recursos afectados:

• VMware Workstation Pro 12.x
• VMware Workstation Player 12.x

Descripción:

Se ha alertado de múltiples vulnerabilidades en varios productos de VMware, que podrían causar una denegación de servicio o una escalada de privilegios en la máquina anfitriona.

Solución:

Actualización de la versión de los productos desplegados.

• VMware Workstation Pro 12.5.6
• VMware Workstation Player 12.5.6

Detalle:

Los fallos identificados se pueden clasificar en dos tipos:

Vulnerabilidad de carga de biblioteca insegura en VMware Workstation.

VMware Workstation Pro/Player presentan una vulnerabilidad de carga de biblioteca insegura a través de los ficheros de configuración del driver de audio ALSA. La explotación con éxito de esta vulnerabilidad permitiría a usuarios anfitriones no privilegiado escalar privilegios a usuario root en la máquina Linux anfitriona.

Esta vulnerabilidad ha sido detectada por el investigador John Horn, perteneciente al grupo Project Zero de Google.

Se ha reservado el siguiente identificador: CVE-2017-4915.

Vulnerabilidad de referencia a puntero nulo en VMware Workstation.

VMware Workstation Pro/Player presentan una vulnerabilidad de referencia a puntero nulo existente en el controlador vstor2. La explotación con éxito de esta vulnerabilidad permitiría a usuarios anfitriones con privilegios de usuario normal lanzar una denegación de servicio en la máquina Windows anfitriona.

Esta vulnerabilidad ha sido detectada por el investigador Borja Merino.

Se ha reservado el siguiente identificador: CVE-2017-4916.

 

Fuente: INCIBE