VMware publicó parches para solucionar cuatro errores de seguridad que afectan a sistemas ESXi, Workstation y Fusion. Estos parches incluyen dos fallas críticas, identificadas como CVE-2024-22252 y CVE-2024-22253, que podrían permitir la ejecución de código y tienen una puntuación CVSS de 9.3 para Workstation y Fusion, y 8.4 para sistemas ESXi.
Según el aviso emitido por la compañía, «un actor malintencionado con privilegios administrativos locales en una máquina virtual podría explotar este problema para ejecutar código como el proceso VMX de la máquina virtual que se está ejecutando en el host”. Mientras que en el caso de Workstation y Fusion, la explotación podría llevar a la ejecución de código en la máquina donde se ha instalado.
Los investigadores de seguridad asociados con Ant Group Light-Year Security Lab y QiAnXin, así como VictorV y Wei, han sido acreditados con el descubrimiento y reporte independiente de ambas fallas críticas identificadas.
Además, VMware ha solucionado dos deficiencias adicionales: CVE-2024-22254, una vulnerabilidad de escritura fuera de límites en ESXi, y CVE-2024-22255, una vulnerabilidad de divulgación de información en el controlador USB UHCI.
Todos estos problemas se han resuelto mediante parches en diferentes versiones, incluyendo aquellas que han llegado al final de su vida útil debido a la gravedad de estos problemas. Para una solución temporal, se recomienda a los clientes eliminar todos los controladores USB de la máquina virtual.
Vía The Hacker News
