VMware ha lanzado actualizaciones para resolver m\u00faltiples fallas de seguridad que afectan su estaci\u00f3n de trabajo y el software Fusion, la m\u00e1s cr\u00edtica de las cuales podr\u00eda permitir que un atacante local logre la ejecuci\u00f3n del c\u00f3digo.<\/p>\n
La vulnerabilidad, rastreada como CVE-2023-20869 (puntaje CVSS: 9.3), se describe como una vulnerabilidad de desbordamiento de b\u00fafer basada en pila que reside en la funcionalidad para compartir dispositivos host Bluetooth con la m\u00e1quina virtual.<\/p>\n
“Un actor malicioso con privilegios administrativos locales en una m\u00e1quina virtual puede explotar este problema para ejecutar c\u00f3digo como el proceso VMX de la m\u00e1quina virtual que se ejecuta en el host”, dijo la empresa. dicho<\/a>.<\/p>\n VMware tambi\u00e9n corrigi\u00f3 una vulnerabilidad de lectura fuera de los l\u00edmites que afecta la misma funci\u00f3n (CVE-2023-20870, puntaje CVSS: 7.1), que podr\u00eda ser abusada por un adversario local con privilegios de administrador para leer informaci\u00f3n confidencial contenida en la memoria del hipervisor de una maquina virtual<\/p>\n Ambas vulnerabilidades fueron demostrado<\/a> por investigadores de STAR Labs en el tercer d\u00eda del concurso de hacking Pwn2Own realizado en Vancouver el mes pasado, gan\u00e1ndoles una recompensa de $80,000.<\/p>\n VMware tambi\u00e9n corrigi\u00f3 dos deficiencias adicionales, que incluyen una falla de escalada de privilegios local (CVE-2023-20871, puntaje CVSS: 7.3) en Fusion y una vulnerabilidad de lectura\/escritura fuera de los l\u00edmites en la emulaci\u00f3n de dispositivo de CD\/DVD SCSI (CVE- 2023-20872, puntaje CVSS: 7.7).<\/p>\n Mientras que el primero podr\u00eda permitir que un mal actor con acceso de lectura\/escritura al sistema operativo host obtenga acceso de ra\u00edz, el segundo podr\u00eda resultar en la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n \u201cUn atacante malintencionado con acceso a una m\u00e1quina virtual que tiene una unidad de CD\/DVD f\u00edsica conectada y configurada para usar un controlador SCSI virtual puede aprovechar esta vulnerabilidad para ejecutar c\u00f3digo en el hipervisor desde una m\u00e1quina virtual\u201d, dijo VMware.<\/p>\n Las fallas se han solucionado en la versi\u00f3n 17.0.2 de Workstation y en la versi\u00f3n 13.0.2 de Fusion. Como un soluci\u00f3n temporal<\/a> para CVE-2023-20869 y CVE-2023-20870, VMware sugiere que los usuarios desactiven la compatibilidad con Bluetooth en la m\u00e1quina virtual.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n![\"vmware\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1682496337_914_VMware-lanza-parches-criticos-para-estaciones-de-trabajo-y-software.jpg\" "\\"vmware\\"\/")
<\/div>\n