L’éditeur, VMware a publié deux correctifs de sécurité pour des failles qui touchent plusieurs produits, dont ses hyperviseurs.
Le fournisseur de solutions de virtualisation VMware a publié des correctifs de sécurité pour plusieurs produits, ESx, ESxi, Workstation, Player et Fusion. Les patchs corrigent deux vulnérabilités qui donnent à un attaquant la possibilité de compromettre le système hôte ou de planter une machine virtuelle:
http://www.vmware.com/security/advisories/VMSA-2012-0011.html
La faille la plus critique est identifiée sous le nom CVE-2012-3288. Elle est issue d’une validation incorrecte des données entrantes, lorsque les fichiers de chargement de la machine virtuelle sont contrôlés, précise VMware. Des pirates peuvent utiliser cette vulnérabilité en corrompant la mémoire et en exécutant du code arbitraire sur le système hôte. VMware a enjoint ses clients de passer aux récentes versions de Workstation (8.0.4), de Player (4.0.4) et de Fusion (4.1.3) ou d’installer les patchs disponibles pour les différentes versions des hyperviseurs ESx et ESxi. Les entreprises doivent également éviter d’importer des machines virtuelles depuis des sources non fiables, a indiqué l’éditeur.
La seconde vulnérabilité concernée par les mises à jour de sécurité donne la capacité aux attaquants de planter une machine virtuelle en envoyant du trafic corrompu via un périphérique virtuel distant (comme par exemple un lecteur de CD-Rom qui est mis à disposition d’une VM, mais reste physiquement attaché à un ordinateur distant). Les impacts de cette faille sont atténués par le fait que les utilisateurs qui souhaitent attacher un dispositif virtuel distant doivent avoir des droits administrateurs. Il revient donc à ses utilisateurs de veiller à la fiabilité de ces périphériques.