VMware Security Advisories – June 2019

VMSA-2019-0009. Las actualizaciones de VMware Tools y Workstation solucionan vulnerabilidades de lectura out of bounds y use-after-free (CVE-2019-5522, CVE-2019-5525)

1. Vulnerabilidad de lectura fuera de los límites (read out-of-bounds) de VMware Tools para Windows (CVE-2019-5522)

Descripción:

La actualización de VMware Tools para Windows corrige una vulnerabilidad de lectura fuera de límites en el controlador vm3dmp que se instala con vmtools en las máquinas invitadas de Windows. Este problema está presente en las versiones 10.2.xy 10.3.x anteriores a 10.3.10. VMware ha evaluado la gravedad de este problema y está en el rango de gravedad Importante con una puntuación base máxima de CVSSv3 de 7.1.

Vectores de ataque conocidos:

Un atacante local con acceso no administrativo a un invitado de Windows con VMware Tools para Windows instalado, puede ser capaz de filtrar información del kernel o crear un ataque de denegación de servicio en la misma máquina invitada de Windows.

Resolución:

Actualice VMware Tools para Windows 10.2.x / 10.3.x a 10.3.10 para resolver este problema.

Matriz de Respuesta:

2. Vulnerabilidad en el uso después de la liberación (use-after-free) de VMware Workstation (CVE-2019-5525)

Descripción:

VMware Workstation contiene una vulnerabilidad de uso después de la liberación (use-after-free), en el backend de Advanced Linux Sound Architecture (ALSA). VMware ha evaluado la gravedad de este problema y se encuentra en el rango de gravedad Importante con una puntuación base máxima de CVSSv3 de 8.5.

Vectores de ataque conocidos:

Un usuario malintencionado con privilegios de usuario normal en la máquina invitada puede explotar este problema junto con otros problemas para ejecutar el código, en el host de Linux donde está instalada la Workstation.

Resolución:

Actualice Workstation 15.x a 15.1.0 para resolver este problema.

Matriz de Respuesta: