VMware corrige deux vulnérabilités importantes dans ses produits ESXi, Workstation et Fusion

Trois vulnérabilités importantes liées à des dépassements de tampon dans le nuanceur (shader en anglais, programme gérant certaines étapes du processus de rendu sur une puce graphique) ont été corrigées lors des dernières mises à jour des produit ESXi, Workstation et Fusion. L'exploitation de ces vulnérabilités permettrait à un attaquant doté du simple droit "utilisateur" de provoquer un déni de service (DoS) et de porter atteinte à la confidentialité des données.

Cisco Talos a publié des détails techniques pour la CVE-2018-6965.

Informations
+

Risques

  • Déni de service
  • Atteinte à la confidentialité des données

Criticité

  • CVSS v3 : 6.5 (score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • VMware vSphere ESXi 6.7
  • VMware Workstation 14.x
  • VMware Fusion 10.x sur OS X

CVE

  • CVE-2018-6965
  • CVE-2018-6966
  • CVE-2018-6967

Recommandations
+

Correctifs

  • Les vulnérabilités ont été corrigées à partir des versions :
    • 6.7 d'ESXi
    • 14.1.2 de Workstation Pro
    • 10.1.2 de Fusion

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.