Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità multiple in VMware ESXi, Workstation e Fusion

denial-of-service  VMware   lunedì, 2 luglio 2018

VMware ha rilasciato un aggiornamento di sicurezza che corregge diverse vulnerabilità di gravità elevata (CVE-2018-6965, CVE-2018-6966, CVE-2018-6967) nei prodotti vSphere ESXi, Workstation e Fusion.

Le vulnerabilità sono legate a condizioni di tipo out of bounds read (lettura della memoria fuori dai limiti) nel sottosistema grafico DirectX 11 per il supporto ai sistemi Windows. Se sfruttate con successo, queste vulnerabilità possono consentire ad un attaccante di accedere ad informazioni riservate o ad un utente con privilegi di accesso normali di causare il crash delle proprie VM, con conseguente condizione di denial of service.

Risultano affetti da queste vulnerabilità i seguenti prodotti VMware:

  • ESXi 6.7
  • Workstation 14.x
  • Fusion 10.x

È necessario aggiornare i prodotti elencati alle seguenti versioni:

  • ESXi 6.7: applicare la patch ESXi670-201806401-BG
  • Workstation 14.1.2
  • Fusion 10.1.2

Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da VMware il più presto possibile.

Per maggiori informazioni sulle vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Vulnerabilità critiche in VMware vRealize Operations for Horizon Adapter

20 febbraio 2020

VMware ha rilasciato un avviso di sicurezza relativo a vulnerabilità multiple, di cui diverse critiche, nel prodotto vRealize Operations for Horizon Adapter per Windows.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2020)

10 febbraio 2020

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Vulnerabilità in prodotti Cisco (5 febbraio 2020)

6 febbraio 2020

Cisco ha rilasciato il 5 febbraio 2020 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto