Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti VMware

Intel  VMware   venerdì, 15 novembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a diverse vulnerabilità, di cui due di gravità elevata, nei prodotti VMware ESXi, Workstation e Fusion. Se sfruttate con successo, queste vulnerabilità possono consentire ad un attaccante di ottenere informazioni potenzialmente sensibili o causare condizioni di denial of service sui sistemi affetti.

Dettagli delle vulnerabilità (in Inglese):

  • [Moderate] Machine Check Error on Page Size Change (MCEPSC) Denial-of-Service vulnerability (CVE-2018-12207)
  • [Moderate] TSX Asynchronous Abort (TAA) Speculative-Execution vulnerability (CVE-2019-11135)
  • [Important] VMware Workstation and Fusion out-of-bounds write vulnerability in e1000e virtual network adapter (CVE-2019-5541)
  • [Important] VMware Workstation and Fusion vmnetdhcp information disclosure vulnerability (CVE-2019-5540)
  • [Moderate] VMware Workstation and Fusion denial-of-service vulnerability (CVE-2019-5542)

Le prime due vulnerabilità affliggono i processori Intel. La vulnerabilità MCEPSC può essere sfruttata da un attaccante locale in grado di eseguire codice su una macchina virtuale per provocare il riavvio anomalo dell’hypervisor, con conseguente condizione di DoS. La vulnerabilità TAA può essere sfruttata da un attaccante locale per aggirare le misure di sicurezza architetturali della macchina e ottenere dati appartenenti ad un’altra VM o all’hypervisor stesso.

Le vulnerabilità affliggono i seguenti prodotti VMware:

  • VMware vSphere ESXi (ESXi) versioni 6.0, 6.5 e 6.7
  • VMware Workstation Pro/Player (Workstation) versione 15.x
  • VMware Fusion Pro/Fusion (Fusion) versione 11.x

VMWare ha rilasciato patch e aggiornamenti specifici per i prodotti sopra elencati.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare i seguenti avvisi di sicurezza di VMware (in Inglese):

Per maggiori informazioni sulle vulnerabilità MCEPSC e TAA si faccia riferimento ai seguenti avvisi di sicurezza di Intel (in Inglese):

Notizie correlate

Vulnerabilità critica in VMware ESXi e Horizon DaaS

9 dicembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità critica nei prodotti VMware ESXi e Horizon DaaS che può causare l'esecuzione di codice da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

23 settembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a due vulnerabilità, di cui una di gravità elevata, nei prodotti VMware ESXi, Workstation, Fusion, VMRC e Horizon Client.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

18 settembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a quattro diverse vulnerabilità, di cui due di gravità elevata, nei prodotti VMware ESXi e vCenter Server.Leggi tutto