Firma VMware opublikowała nowy biuletyn bezpieczeństwa: VMSA-2019-0004 oraz VMSA-2019-0005.
Podatności:
- CVE-2019-5523 – pomyślne wykorzystanie tej podatności może pozwolić atakującemu na dostęp do portalu użytkownika lub dostawcy, podszywając się pod aktualnie zalogowaną sesję.
- CVE-2019-5514 – VMware Fusion zawiera lukę w zabezpieczeniach wynikającą z braku uwierzytelniania w niektórych interfejsach API dostępnych przez sieć. Atakujący może wykorzystać tą podatność, próbując nakłonić użytkownika do wykonania kodu JavaScript, na którym zainstalowano VMware Tools.
- CVE-2019-5515 – VMware Workstation i Fusion zawierają lukę w zabezpieczeniach zapisu w wirtualnej karcie sieciowej e1000 i e1000e. Ta podatność może prowadzić do wykonania kodu na hoście lub wywołanie odmowy usług.
- CVE-2019-5518, CVE-2019-5519 – VMware ESXi, Workstation i Fusion zawierają luki w zabezpieczeniach odczytu / zapisu oraz lukę Time-of-check Time-of-use (TOCTOU) w wirtualnym interfejsie USB 1.1 UHCI (Universal Host Controller Interface). Wykorzystanie tych podatności wymaga od atakującego dostępu do maszyny wirtualnej z wirtualnym kontrolerem USB i może umożliwić gościowi wykonanie kodu na hoście.
- CVE-2019-5524 – VMware Workstation i Fusion zawierają lukę w zabezpieczeniach zapisu w wirtualnej karcie sieciowej e1000. Ta podatność może pozwolić gościowi na wykonanie kodu na hoście.
Produkty:
- VMware vCloud Director
- VMware vSphere ESXi (ESXi)
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
CERT PSE zachęca użytkowników i administratorów do zapoznania się z biuletynami na stronie producenta i zastosowania niezbędnych aktualizacji.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny