A VMware corrigiu erro de escalonamento de privilégios de alta gravidade no Fusion através de atualização de seus softwares. Confira os detalhes do problema.
VMware Fusion é um software hipervisor para computadores Macintosh que permite que Macs baseados em Intel executem sistemas operacionais como Microsoft Windows, Linux, NetWare ou Solaris em máquinas virtuais, dentro do sistema operacional Mac OS X usando uma combinação de paravirtualização, virtualização de hardware e recompilação dinâmica.
Agora, a VMware lançou as atualizações de segurança para lidar com a escalação de privilégios de alta gravidade e a negação de serviço (DoS) na estação de trabalho VMware, Fusion, console remoto VMware e Horizon Client.
VMware corrigiu erro de escalonamento de privilégios de alta gravidade no Fusion
As duas falhas de segurança atualmente rastreadas como CVE-2020-3950 e CVE-2020-3951 são devidas ao uso inadequado de binários setuid e a um problema de excesso de pilha no Cortado Thinprint.
O CVE-2020-3950 relatado por Jeffball, do GRIMM e Rich Mirch, foi classificado pela VMware com uma pontuação base no CVSSv3 de 7,3 e foi avaliado como estando na faixa de gravidade Importante.
Essa falha afeta os aplicativos macOS do VMware Fusion (11.x antes de 11.5.2), do VMware Remote Console para Mac (11.xe antes de 11.0.1) e do Horizon Client para Mac (5.xe anteriores a 5.4.0) .
O comunicado de segurança da VMware explica que:
“A exploração bem-sucedida desse problema pode permitir que invasores com privilégios normais de usuário aumentem seus privilégios para fazer root no sistema em que o Fusion, VMRC ou Horizon Client está instalado.”
A vulnerabilidade de negação de serviço encontrada no Cortado Thinprint e relatada pelo Dhanesh Kizhakkinan da FireEye afeta os aplicativos Windows e Linux do VMware Workstation (15.x antes de 15.5.2), bem como o Horizon Client para Windows (5.xe anterior antes de 5.4.0)
Conforme descrito pela VMware:
“Os invasores com acesso não administrativo a uma VM convidada com impressão virtual ativada podem explorar esse problema para criar uma condição de negação de serviço do serviço Thinprint em execução no sistema em que a Estação de Trabalho ou o Horizon Client está instalado.”
Para corrigir os dois problemas de segurança, você deve aplicar os patches listados na coluna ‘Versão fixa’ da ‘Matriz de resolução’ disponível no comunicado VMSA-2020-0005.
Corrigido o erro crítico de DoS convidado a host do host na semana passada
Na semana passada, a VMware também corrigiu uma vulnerabilidade crítica use-after-free vmnetdhcp no VMware Workstation (15.x antes de 15.5.2) e Fusion (11.x antes de 11.5.2) que poderiam levar à execução de código no sistema host a partir do ambiente convidado quando explorado.
Essa falha de segurança foi encontrada por um pesquisador anônimo da Trend Micro Zero Day Initiative no serviço vmnetdhcp do Windows, usado para atribuir endereços IP ao host convidado por meio do DHCP (Dynamic Host Configuration Protocol).
A falha rastreada como CVE-2020-3947 também pode permitir que invasores em potencial criem uma condição de negação de serviço do serviço vmnetdhcp em execução em máquinas host sem patch.
Devido à natureza crítica dessa vulnerabilidade, é altamente recomendável que os usuários atualizem seu software VMware Workstation para a versão 15.5.2 o mais rápido possível para evitar futuros ataques.
- modder deixou o Nintendo Wii do tamanho de um baralho de cartas
- Como instalar o Magic Set Edito no Linux via Flatpak
- Como instalar o jogo Crispy Doom no Linux via Flatpak
- Como instalar o incrível jogo Tales of Maj’Eyal no Linux via Snap
O que está sendo falado no blog
Get HITECHY update
[mc4wp_form id=411285]
Related blogs
3 melhores alternativas ao NGINX como servidor Web rápido e seguro
Confira as 3 melhores alternativas ao NGINX como servidor Web rápido e seguro, e…
modder deixou o Nintendo Wii do tamanho de um baralho de cartas
Para tornar seu console ainda mais portátil, um modder deixou o Nintendo Wii do…
Como instalar o visualizador de câmera GetThermal no Linux via AppImage
Se você quer ver imagens térmicas, conheça e veja como instalar o visualizador de…
Galaxy S24 FE pode ser muito diferente dos FE anteriores
Segundo relato vindo da mídia social chinesa Weibo, o smartphone Samsung Galaxy S24 FE…