Várias falhas de segurança foram divulgadas nos produtos VMware Workstation e Fusion que podem ser exploradas por agentes de ameaças para acessar informações confidenciais, acionar uma condição de negação de serviço (DoS) e executar código sob determinadas circunstâncias.
As quatro vulnerabilidades afetam as versões 17.x e Fusion 13.x do Workstation, com correções disponíveis nas versões 17.5.2 e 13.5.2, respectivamente, disse o provedor de serviços de virtualização de propriedade da Broadcom.
Uma breve descrição de cada uma das falhas está abaixo –
- CVE-2024-22267 (Pontuação CVSS: 9,3) – Uma vulnerabilidade de uso após livre no dispositivo Bluetooth que pode ser explorada por um agente mal-intencionado com privilégios administrativos locais em uma máquina digital para executar código como o processo VMX da máquina digital em execução no host
- CVE-2024-22268 (Pontuação CVSS: 7.1) – Uma vulnerabilidade de buffer overflow de heap na funcionalidade Shader que pode ser explorada por um agente mal-intencionado com acesso não administrativo a uma máquina digital com gráficos 3D habilitados para criar uma condição DoS
- CVE-2024-22269 (Pontuação CVSS: 7.1) – Uma vulnerabilidade de divulgação de informações no dispositivo Bluetooth que pode ser explorada por um agente mal-intencionado com privilégios administrativos locais em uma máquina digital para ler informações privilegiadas contidas na memória do hipervisor de uma máquina digital
- CVE-2024-22270 (pontuação CVSS: 7.1) – Uma vulnerabilidade de divulgação de informações na funcionalidade Host Visitor File Sharing (HGFS) que pode ser explorada por um agente mal-intencionado com privilégios administrativos locais em uma máquina digital para ler informações privilegiadas contidas na memória do hipervisor de uma máquina digital
Como soluções temporárias até que os patches possam ser implantados, os usuários são aconselhados a desligar o suporte Bluetooth na máquina digital e desabilitar o recurso de aceleração 3D. Não há mitigações relacionadas ao CVE-2024-22270 além da atualização para a versão mais recente.
É importante notar que CVE-2024-22267, CVE-2024-22269 e CVE-2024-22270 foram originalmente demonstrados por STAR Labs SG e Theori no concurso de hackers Pwn2Own realizado em Vancouver no início de março.
O comunicado chega mais de dois meses depois que a empresa lançou patches para resolver quatro falhas de segurança que afetam ESXi, Workstation e Fusion, incluindo duas falhas críticas (CVE-2024-22252 e CVE-2024-22253, pontuações CVSS: 9,3/8,4) que pode levar à execução do código.
