Trois vulnérabilités importantes liées à des dépassements de tampon dans le nuanceur (shader en anglais, programme gérant certaines étapes du processus de rendu sur une puce graphique) ont été corrigées lors des dernières mises à jour des produit ESXi, Workstation et Fusion. L'exploitation de ces vulnérabilités permettrait à un attaquant doté du simple droit "utilisateur" de provoquer un déni de service (DoS) et de porter atteinte à la confidentialité des données.
Cisco Talos a publié des détails techniques pour la CVE-2018-6965.
Informations
+
Risques
- Déni de service
- Atteinte à la confidentialité des données
Criticité
- CVSS v3 : 6.5 (score CVSS de la vulnérabilité la plus critique)
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- VMware vSphere ESXi 6.7
- VMware Workstation 14.x
- VMware Fusion 10.x sur OS X
CVE
- CVE-2018-6965
- CVE-2018-6966
- CVE-2018-6967
Recommandations
+
Correctifs
- Les vulnérabilités ont été corrigées à partir des versions :
- 6.7 d'ESXi
- 14.1.2 de Workstation Pro
- 10.1.2 de Fusion
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.
Liens
+