Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di tipo DoS in VMware ESXi, Workstation e Fusion

denial-of-service  VMware   mercoledì, 10 ottobre 2018

VMware ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità di gravità elevata (CVE-2018-6977) nei prodotti vSphere ESXi (ESXi)Workstation Pro/Player (Workstation) e Fusion Pro, Fusion (Fusion).

La vulnerabilità, di tipo denial of service (DoS), è legata ad una condizione di ciclo infinito che si verifica in uno shader utilizzato per il rendering 3D. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante con i normali privilegi d’utente di far sì che la macchina virtuale (VM) non risponda più ai comandi e, in alcuni casi, di bloccare altre VM sullo stesso host o l’host stesso.

Risultano affette da questa vulnerabilità tutte le versioni di ESXi, Workstation e Fusion per tutte le piattaforme supportate.

Al momento Vmware non ha rilasciato aggiornamenti specifici per risolvere questa vulnerabilità nei prodotti affetti, fornendo unicamente soluzioni di mitigazione che consistono sostanzialmente nel disabilitare la funzionalità di accelerazione 3D nelle applicazioni interessate.

Per maggiori informazioni sulle vulnerabilità, sui prodotti affetti e sulle soluzioni di mitigazione è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Vulnerabilità critiche in VMware vRealize Operations for Horizon Adapter

20 febbraio 2020

VMware ha rilasciato un avviso di sicurezza relativo a vulnerabilità multiple, di cui diverse critiche, nel prodotto vRealize Operations for Horizon Adapter per Windows.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2020)

10 febbraio 2020

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Vulnerabilità in prodotti Cisco (5 febbraio 2020)

6 febbraio 2020

Cisco ha rilasciato il 5 febbraio 2020 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto