VMware a corrigé une faille critique et trois failles importantes dans ses logiciels de session utilisateur virtuelle VMware Workstation et Fusion.
Comme l’explique VMware, CVE-2023-20869 est une vulnérabilité critique de débordement de mémoire tampon basée sur la pile dans la fonctionnalité de partage des périphériques Bluetooth de l’hôte avec la machine virtuelle, qui permet à un acteur malveillant disposant de privilèges d’administration locaux d’exécuter du code en tant que processus VMX de la machine virtuelle s’exécutant sur l’hôte.
CVE-2023-20871 – une vulnérabilité locale d’élévation de privilèges – n’affecte que VMware Fusion, et peut permettre à un acteur malveillant disposant d’un accès en lecture/écriture au système d’exploitation hôte d’obtenir un accès racine.
Les deux premières vulnérabilités ont été signalées à VMware par l’intermédiaire de l’initiative Zero Day de Trend Micro.
Ces vulnérabilités affectent VMware Workstation Pro v17.
En début de semaine, VMware a corrigé deux vulnérabilités dans sa solution VMware Aria Operations for Logs.