Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en productos VMware

Fecha de publicación: 
25/06/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • VMware ESXi, versiones 7.0, 6.7 y 6.5;
  • VMware Workstation Pro / Player (Workstation), versiones 15.x;
  • VMware Fusion Pro / Fusion (Fusion), versiones 11.x;
  • VMware Cloud Foundation, versiones 4.x y 3.x.
Descripción: 

VMware ha informado de múltiples vulnerabilidades en VMware ESXi, Workstation, y Fusion. En total se han notificado 10 vulnerabilidades siendo 1 crítica, 5 altas y 4 medias.

Solución: 

Se recomienda instalar los últimos parches para los productos afectados en función de la versión estable utilizada:

  • VMware ESXi: ESXi_7.0.0-1.20.16321839, o ESXi670-202004101-SG, o ESXi650-202005401-SG.
  • VMware Workstation Pro / Player (Workstation): 15.5.5.
  • VMware Fusion Pro / Fusion (Fusion): 11.5.5.
  • VMware Cloud Foundation: 4.0.1 (pendiente de publicación), o 3.10 o 3.10.0.1 (pendiente de publicación).
Detalle: 

La vulnerabilidad más crítica de las informadas por VMware permitiría a un atacante con acceso local a una máquina virtual con gráficos 3D habilitados ejecutar código en el hipervisor desde la propia máquina virtual por medio de una vulnerabilidad de tipo “use-after-free” en la que se use memoria después de liberación en un dispositivo SVGA. Se ha asignado el identificador CVE-2020-3962 para esta vulnerabilidad.

Otros identificadores asignados para el resto de vulnerabilidades son CVE-2020-3963, CVE-2020-3964, CVE-2020-3965, CVE-2020-3966, CVE-2020-3967, CVE-2020-3968, CVE-2020-3969, CVE-2020-3970 y CVE-2020-3971.

Encuesta valoración