Recursos afectados:
- VMware Workstation Pro / Player (Workstation);
- VMware Fusion Pro / Fusion (Fusion);
- VMware Remote Console para Mac (VMRC para Mac);
- VMware Horizon Client para Mac;
- VMware Horizon Client para Windows.
Descripción:
Los investigadores, Jefball de GRIMM, Dhanesh Kizhakkinan de FireEye Inc. y Rich Mirch, han reportado dos vulnerabilidades, una de severidad alta y otra baja. Un atacante local podría realizar una elevación de privilegios o generar una condición de denegación de servicio.
Solución:
VMware ha publicado una serie de actualizaciones que mitigan las vulnerabilidades.
- Fusion, versión 11.X, actualizar a la versión 11.5.2;
- VMRC para Mac, versiones 11.X y anteriores, actualizara la versión 11.0.1;
- Horizon Client para Mac, versiones 5.X y anteriores, actualizar a la versión 5.4.0.
- Workstation para Windows, versión 15.X, actualizar a la versión 15.5.2 (pro y player);
- Horizon Client para Windows, versiones 5.X y anteriores, actualizar a la versión 5.4.0.
Detalle:
- La vulnerabilidad de criticidad alta, que afecta a VMware Fusion, VMRC para Mac y Horizon Client para Mac, es debida a un uso indebido de los binarios setuid. Un atacante local podría realizar una elevación de privilegios y obtener privilegios de root en el sistema afectado. Se ha asignado el identificador CVE-2020-3950 para esta vulnerabilidad.
- A la vulnerabilidad de criticidad baja se le ha asignado el identificador CVE-2020-3951.