9VSA20-00159-01 CSIRT comparte actualizaciones de VMware
CSIRT comparte información obtenida de VMware referente a dos vulnerabilidades que afectan a los productos VMware Fusion, VMware Workstation, VMRC y VMware Horizon Client
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida de VMware referente a dos vulnerabilidades que afectan a los productos VMware Fusion, VMware Workstation, VMRC y VMware Horizon Client, las cuales de ser explotadas permitirían a un atacante local realizar ataques de denegación de servicios y ejecutar código arbitrario en el sistema. Este informe incluye la respectiva mitigación.
Vulnerabilidades
CVE-2020-3950
CVE-2020-3951
Impactos
CVE-2020-3950
Debido al incorrecto uso de los binarios ‘setuid’, un usuario local podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema afectado con privilegios elevados.
CVE-2020-3951
Debido a un error en memoria dentro de ‘Cortado Thinprint’, un usuario local podría causar un desbordamiento del montón en memoria, botando el servicio Thinprint y causando una denegación de servicios.
Productos Afectados
VMware Workstation Pro / Player
VMware Fusion Pro / Fusion
VMware Remote Console para Mac
VMware Horizon Client para Mac y Windows
Mitigación
Aplicar las actualizaciones publicadas por VMware.
Enlaces
https://www.vmware.com/security/advisories/VMSA-2020-0005.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3950
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3951
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00159-01