Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte gravi vulnerabilità in prodotti VMware

denial-of-service  elevazione dei privilegi  VMware   lunedì, 8 gennaio 2018

VMware ha rilasciato un aggiornamento di sicurezza che corregge tre vulnerabilità di gravità elevata nei prodotti vRealize Operations for Horizon (V4H), vRealize Operations for Published Applications (V4PA), Workstation, Fusion, Horizon View Client e Tools. Se sfruttate con successo, le più gravi di queste vulnerabilità possono consentire ad un attaccante di elevare i propri privilegi, accedere ad informazioni riservate o causare condizioni di denial of service.

Dettagli delle vulnerabilità (in Inglese):

  • V4H and V4PA desktop agent privilege escalation vulnerability (CVE-2017-4946)
  • VMware Workstation and Horizon View Client out-of-bounds read issue via Cortado ThinPrint (CVE-2017-4948)
  • VMware Workstation and Fusion guest access control vulnerability (CVE-2017-4945)

Risultano variamente affetti da queste vulnerabilità i seguenti prodotti VMware:

  • vRealize Operations for Horizon (V4H) versione 6.x per Windows 
  • vRealize Operations for Published Applications (V4PA) versione 6.x per Windows
  • VMware Workstation Pro / Player (Workstation) versioni 12.x e 14.x
  • VMware Fusion Pro / Fusion (Fusion) versioni 8.x e 10.x per macOS
  • Horizon View Client for Windows versione 4.x

È necessario aggiornare i prodotti elencati alle seguenti versioni:

  • vRealize Operations for Horizon Desktop Agent 6.5.1 (anche incluso in Horizon 7.4)
  • vRealize Operations for Published Applications Desktop Agent 6.5.1
  • VMware Workstation Pro / Player 14.1.0 (non è prevista una patch per la versione 12.x)
  • Fusion 10.1.0 (non è prevista una patch per la versione 8.x)
  • Horizon View Client for Windows 4.7.0
  • VMware Tools deve essere aggiornato alla versione 10.2.0 per ogni VM per risolvere la vulnerabilità CVE-2017-4945

Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da VMware il più presto possibile.

Per maggiori informazioni sulle vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Vulnerabilità in Skype Updater consente l’elevazione dei privilegi in Windows

13 febbraio 2018

È stata scoperta una grave vulnerabilità nel meccanismo di aggiornamento automatico di Skype per Windows che può consentire l'esecuzione di codice arbitrario con privilegi elevati.Leggi tutto

Aggiornamenti contro attacchi Meltdown e Spectre per prodotti VMware Virtual Appliance

9 febbraio 2018

VMware ha rilasciato una serie di aggiornamenti e soluzioni di mitigazione per prodotti VMware Virtual Appliance per contrastare gli attacchi Meltdown e Spectre.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2018)

7 febbraio 2018

Google ha rilasciato l'aggiornamento di sicurezza di gennaio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto