Af Torben B. Sørensen, 18/09/17
VMware har lukket tre sikkerhedshuller, hvoraf det ene er kritisk.
En sårbarhed i et virtuelt grafikkort giver applikationer i en virtuel maskine mulighed for at afvikle kode på den fysiske maskine, den kører på. Sårbarheden ligger i SVGA-enheden.
Fejlen findes i ESXi 6.5, Workstation 12.x og Fusion 8.x. Den er rettet i Workstation 12.5.7, Fusion 8.5.8 og med patchen ESXi650-201707101-SG til ESXi.
Ved samme lejlighed har VMware også rettet et par mindre alvorlige fejl i de samme produkter samt i vCenter Server 6.5.
Anbefaling
Opdater til en rettet version af de berørte produkter.
Links
- VMSA-2017-0015.1: VMware ESXi, vCenter Server, Fusion and Workstation updates resolve multiple security vulnerabilities
- VMware Workstation Shader Out-Of-Bounds Write Privilege Escalation Vulnerability, Zero Day Initiative
- VMware Patches Bug That Allows Guest to Execute Code on Host, artikel fra Kaspersky Threatpost
- VMware Patches Critical SVGA Code Execution Flaw, artikel fra SecurityWeek