Une salve de patchs pour VMware. Plusieurs failles identifiées en tant que CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 et CVE-2024-22255 sont à corriger qui concernent les produits suivants : ESXi (6.5-6.5U3v, 6.7-6.7U3u, 7.0-ESXi70U3p-23307199 et 8.0-ESXi80U2sb-23305545 ainsi que ESXi80U1d-23299997), Workstation (17.x-17.5.1), Fusion (13.x-13.5.1) ainsi que Cloud Foundation (3.x). « Les vulnérabilités individuelles documentées sur cette VMSA pour ESXi ont une gravité importante, mais la combinaison de ces problèmes entraînera une gravité critique », a précisé l'éditeur.
Dans le détail les CVE-2024-22252 et CVE-2024-22253 (vulnérabilités de type use-after-free dans le contrôleur USB XHCI) ouvrent la voie pour un acteur malveillant disposant de privilèges administratifs locaux sur une machine virtuelle d'exploiter ce problème pour exécuter du code en tant que processus VMX de la machine virtuelle s'exécutant sur l'hôte. Sur ESXi, l'exploitation est contenue dans le bac à sable VMX, tandis que sur Workstation et Fusion, cela peut conduire à l'exécution de code sur la machine où Workstation ou Fusion est installé. Concernant la CVE-2024-22254 (faille d'écriture hors limites dans ESXi) elle peut donner la possibilité à un pirate disposant de privilèges au sein du processus VMX de déclencher une écriture hors limites conduisant à une sortie du bac à sable, tandis que la CVE-2024-22255 (vulnérabilité de divulgation d'informations dans le contrôleur USB UHCI) expose à risque de voir un acteur malveillant disposant d'un accès administratif à une machine virtuelle d'exploiter ce problème pour fuiter des données en mémoire du processus vmx.
A l'occasion de la publication de ces correctifs, VMware a remercié les personnes à l'origine de la découverte de ces failles à savoir Jiang YuHao, Ying XingLei et Zhang ZiMing de Team Ant Lab ainsi que Jiaqing Huang (@s0duku), Hao Zheng (@zhz), VictorV et Wei of Team CyberAgent.
Commentaire