Les correctifs livrés par VMware corrigent de graves vulnérabilités identifiées dans plusieurs produits. Elles peuvent permettre l'exécution de code arbitraire, l'escalade de privilèges sur le système d'exploitation hôte et le déni de service. En particulier, Workstation et Horizon View Client pour Windows présentent plusieurs failles de manipulation de mémoire pouvant permettre à un cyber-pirate d'exécuter du code sur le système d'exploitation hôte ou de faciliter le déclenchement d’un déni de service. Quant à la faille identifiée dans Workstation, Player, et Fusion, elle autorise une attaque par déni de service contre les systèmes d'exploitation invités ou hôtes.
Les mises à jour de Workstation 11.1.1 et 10.0.6, de Player 7.1.1 et 6.0.6 et d’Horizon Client pour Windows 3.4.0, 3.2.1 et 5.4.2 (avec mode local) livrées par VMware permettent de résoudre le problème d'exécution de code. L’éditeur a également résolu la question distincte de déni de service en livrant les mises à jour 10.0.5 de Workstation et 6.0.6 de Player pour toutes les plates-formes, plus les mises à jour 7.0.1 et 6.0.6 de Fusion pour OS X. Une faille distincte permettant une escalade des privilèges a également été corrigée dans les produits Workstation, Player et Horizon View Client pour Windows. Cette vulnérabilité peut permettre à des attaquants locaux d'élever leurs privilèges et d’exécuter du code dans le cadre des processus concernés. Pour se prémunir contre cette vulnérabilité, les utilisateurs sont invités passer aux versions Workstation 11.1.1 ou 10.0.7, Player 7.1.1 ou 6.0.7, et Horizon client pour Windows 5.4.2 (avec l'option Mode Local).
Commentaire