VMware a publi\u00e9 des correctifs pour corriger quatre failles de s\u00e9curit\u00e9 affectant ESXi, Workstation et Fusion, dont deux failles critiques pouvant conduire \u00e0 l’ex\u00e9cution de code.<\/p>\n
Suivi comme CVE-2024-22252 et CVE-2024-22253<\/strong>, les vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9crites comme des bogues d’utilisation apr\u00e8s lib\u00e9ration dans le contr\u00f4leur USB XHCI. Ils affichent un score CVSS de 9,3 pour Workstation et Fusion et de 8,4 pour les syst\u00e8mes ESXi.<\/p>\n “Un acteur malveillant disposant de privil\u00e8ges administratifs locaux sur une machine virtuelle peut exploiter ce probl\u00e8me pour ex\u00e9cuter du code alors que le processus VMX de la machine virtuelle s’ex\u00e9cute sur l’h\u00f4te”, explique la soci\u00e9t\u00e9. dit<\/a> dans un nouvel avis.<\/p>\n “Sur ESXi, l’exploitation est contenue dans le bac \u00e0 sable VMX alors que, sur Workstation et Fusion, cela peut conduire \u00e0 l’ex\u00e9cution de code sur la machine sur laquelle Workstation ou Fusion est install\u00e9.”<\/p>\n Plusieurs chercheurs en s\u00e9curit\u00e9 associ\u00e9s au laboratoire de s\u00e9curit\u00e9 Ant Group Light-Year et \u00e0 QiAnXin ont \u00e9t\u00e9 reconnus pour avoir d\u00e9couvert et signal\u00e9 de mani\u00e8re ind\u00e9pendante CVE-2024-22252. Les chercheurs en s\u00e9curit\u00e9 VictorV et Wei ont \u00e9t\u00e9 reconnus pour avoir signal\u00e9 CVE-2024-22253.<\/p>\n Le fournisseur de services de virtualisation appartenant \u00e0 Broadcom a \u00e9galement corrig\u00e9 deux autres lacunes\u00a0:<\/p>\n Les probl\u00e8mes ont \u00e9t\u00e9 r\u00e9solus dans les versions suivantes, y compris celles qui ont atteint la fin de vie (EoL) en raison de la gravit\u00e9 de ces probl\u00e8mes\u00a0:<\/p>\n En guise de solution temporaire jusqu’\u00e0 ce qu’un correctif puisse \u00eatre d\u00e9ploy\u00e9, il a \u00e9t\u00e9 demand\u00e9 aux clients de supprimer tous les contr\u00f4leurs USB de la machine virtuelle.<\/p>\n “De plus, les p\u00e9riph\u00e9riques USB virtuels\/\u00e9mul\u00e9s, tels que les cl\u00e9s USB ou les dongles virtuels VMware, ne pourront pas \u00eatre utilis\u00e9s par la machine virtuelle”, indique la soci\u00e9t\u00e9. dit<\/a>. “En revanche, le clavier\/la souris par d\u00e9faut en tant que p\u00e9riph\u00e9riques d’entr\u00e9e ne sont pas affect\u00e9s car, par d\u00e9faut, ils ne sont pas connect\u00e9s via le protocole USB mais disposent d’un pilote qui \u00e9mule les p\u00e9riph\u00e9riques logiciels dans le syst\u00e8me d’exploitation invit\u00e9.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/VMware-publie-des-correctifs-de-securite-pour-les-failles-ESXi.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n