Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in VMware ESXi, Workstation e Fusion

VMware   mercoledì, 17 aprile 2019

VMware ha rilasciato un avviso di sicurezza relativo a tre vulnerabilità di gravità elevata nei prodotti vSphere ESXi (ESXi), Workstation Pro/Player (Workstation) e Fusion Pro, Fusion (Fusion).

Dettagli delle vulnerabilità (in Inglese):

  • CVE-2019-5516: VMware ESXi, Workstation and Fusion vertex shader out-of-bounds read vulnerability
  • CVE-2019-5517: VMware ESXi, Workstation and Fusion multiple shader translator out-of-bounds read vulnerabilities
  • CVE-2019-5520: VMware ESXi, Workstation and Fusion out-of-bounds read vulnerability

Queste vulnerabilità risultano sfruttabili solamente su macchine virtuali con abilitata la grafica 3D e possono causare la divulgazione di informazioni o consentire ad un utente a bassi privilegi di causare una condizione di denial of service sulla propria macchina virtuale.

Risultano variamente affette da queste vulnerabilità le seguenti versioni di ESXi, Workstation e Fusion:

  • ESXi 6.7
  • ESXi 6.5
  • Workstation 15.x su tutte le piattaforme supportate
  • Workstation 14.x su tutte le piattaforme supportate
  • Fusion 11.x su macOS
  • Fusion 10.x su macOS

È necessario aggiornare i prodotti elencati alle seguenti versioni:

  • ESXi 6.7: applicare la patch ESXi670-201904101-SG
  • ESXi 6.5: applicare la patch ESXi650-201903001 
  • Workstation 15.0.3
  • Workstation 14.1.6
  • Fusion 11.0.3
  • Fusion 10.1.6

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Grave vulnerabilità in VMware Tools

15 gennaio 2020

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità di gravità elevata nel prodotto VMware Tools per Windows.Leggi tutto

Vulnerabilità critica in VMware ESXi e Horizon DaaS

9 dicembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità critica nei prodotti VMware ESXi e Horizon DaaS che può causare l'esecuzione di codice da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

15 novembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a diverse vulnerabilità, di cui due di gravità elevata, nei prodotti VMware ESXi, Workstation e Fusion.Leggi tutto