Le spécialiste de la virtualisation VMware met en garde contre quatre failles, dont deux très graves. Les utilisateurs doivent donc agir immédiatement.
Les quatre bugs se manifestent dans VMware ESXi, VMware Workstation Pro/Player, VMware Fusion Pro/Fusion (Fusion) et VMware Cloud Foundation (Cloud Foundation).
Deux bugs, CVE-2024-22252 et CVE-22253, qui s’appliquent à VMware Workstation Hypervisor, VMware Fusion Desktop Hypervisor et VMware ESXi Server Hypervisor, sont classés comme très sérieux avec des scores de 9,3 et 8,4.
En exploitant ces failles, un utilisateur malveillant disposant de droits d’administrateur local sur une machine virtuelle peut en abuser pour sortir de l’environnement virtuel et exécuter du code sur le PC ou le Mac sous-jacent. Sur ESXi, il peut y arriver dans le processus VMX enrobant chaque machine virtuelle.
La troisième faille, CVE-2024-22254 (score de 7,9), permet à une personne disposant de privilèges dans le processus VMX d’effectuer également une action d’écriture lui permettant de quitter l’environnement du bac à sable. Quant au bug CVE-2024-22255 (score de 7,1) il permet à une personne disposant de droits d’administrateur d’éjecter de la mémoire du processus VMX.
Pour les quatre vulnérabilités, VMware renvoie aux correctifs sur cette page, où l’entreprise fournit également des explications techniques supplémentaires sur les autres bugs. Une méthode alternative est également possible.
Support USB
Un certain nombre de failles trouvent leur origine dans les contrôleurs USB virtuels. VMware recommande de les supprimer en tant que solutions provisoires, tout en apportant la nuance, selon laquelle cette approche peut ne pas être utile à grande échelle, car elle supprime ainsi aussi l’accès à la souris et au clavier via la console virtuelle, bien qu’elle soit supportée d’une manière différente sur Windows et Linux.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici