Ir al contenido principal

Múltiples vulnerabilidades en productos VMWare

Imagen
De
Desde Hispasec nos cuentan:

Múltiples vulnerabilidades en productos VMWare

Se han descubierto hasta siete vulnerabilidades consideradas críticas en VMware Workstation, Fusion y Horizon View Client que podrían ser aprovechadas por un atacante para causar denegación de servicios o ejecutar código arbitrario. 


VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

En primer lugar, seis de las vulnerabilidades afectan a VMware Workstation y Horizon Client y  residen en que las dlls TPView.ddl y TPInt.dll no realizan una asignación de memoria de forma adecuada. Esto podría permitir la ejecución de código o denegación de servicio. Se han asignado los CVE: CVE-2012-0897 y del CVE-2015-2336 al CVE-2015-2340.

Por otra parte una vulnerabilidad (con CVE-2015-2341) de denegación de servicio en VMware Workstation, Player y Fusion debido a un fallo de validación de entradas en un comando RPC.

Se han publicado las siguientes actualizaciones para corregir los problemas en todas las versiones afectadas:
VMware Workstation 11.1.1 y 10.0.6
https://www.vmware.com/go/downloadworkstation
VMware Player 7.1.1 y 6.0.6
https://www.vmware.com/go/downloadplayer
VMware Fusion 7.0.1 y 6.0.6
https://www.vmware.com/go/downloadfusion
VMware Horizon Clients 5.4.2, 3.4.0 y 3.2.1
https://www.vmware.com/go/viewclients

Más información:

VMware Workstation, Fusion and Horizon View Client updates address critical security issues
http://www.vmware.com/security/advisories/VMSA-2015-0004.html




Fuente:
http://unaaldia.hispasec.com/2015/06/multiples-vulnerabilidades-en-productos.html

Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

La H-1B: El viaje de un desarrollador iOS desde Honduras hasta Silicon Valley

De
Desde toptal.com nos cuentan ... La experiencia de un desarrollador Latinoamericano que llego hasta Silicon Valler desde Honduras, un interesante artículo que nos cuenta la travesía de llegar a trabajar en San Francisco, California. He aquí un fragmento del articulo: Por estos días, vivo en la gran ciudad de San Francisco. Obtuve un trabajo que amo, y uno con el cual soñé con tener durante mucho tiempo. Parece fácil ahora, pero no siempre fue así. Cómo empezó todo Nací en  San Pedro Sula , un pequeño pueblo en la esquina noroeste de Honduras. Comencé a programar cuando tenía 12 años. Todo empezó con BASIC. Un día, estaba jugando un vídeo juego y se colgó. Cuando ví la pantalla llena de códigos de error y mensajes, me picó la curiosidad—entonces comencé a aprender algunos comandos BASIC, que eventualmente me llevaron a comprar libros de programación sobre Clipper, Turbo Pascal, C, C++, etc. Fue genial. Tenía todo el tiempo del mundo para gastar programando cualq...
Publicar un comentario
Leer más

¿Qué es la ejecución de código arbitrario?

De
En informática , el término código arbitrario hace referencia a código muy largo que no será interpretado por una aplicación o sistema operativo sino que provocará un desbordamiento de búfer de esa aplicación o sistema operativo lo que hará que el trozo desbordado sea interpretado y/o ejecutado por el sistema bajo unas condiciones más favorables. Es utilizado para realizar ataques. Otra forma más simple de definirlo es que la ejecución de código arbitrario es: Una forma fácil en la que un atacante puede ejecutar "comandos" tan sencillo como pensar en que alguien a distancia esta tecleando comandos que pueden ser desde un inocente mkdir "para hacer directorio" hasta un rm "borrar directorio" o abrir puertos etc para troyanizar el equipo "mantener el acceso". Lo que también es conocido como remote code execution .
Publicar un comentario
Leer más

Por Qué Los Startups Necesitan Una Guía De Estilo

De
Incluso para un diseñador con experiencia, crear una nueva guía de estilo para un producto es difícil—hay muchas direcciones de diseño posible, y el proceso puede rápidamente convertirse en algo abrumador. La vida del  startup  es bastante agitada, rápida, y llena de clichés como “la perfección es la enemiga de tener algo hecho”, “muévete rápido y rompe cosas”, o “lancemos ahora, arreglemoslo después”. Crear una guía de estilo bajo dichos eslóganes y prioridades fluctuantes es desafiante, pero es necesario si queremos que el diseño de un producto tenga éxito a largo plazo. La  Experiencia Global de Lenguaje (GEL) de la BBC explica el propósito de cada componente y cómo deberían ser utilizados. En años recientes, hemos escuchado mucho sobre sistemas de diseño, guías de estilo, librerías de patrones, y  diseño atómico . Y si bien estas herramientas son muy útiles, usarlas puede sentirse como un exceso cuando lo único que quieres es crear un par de pantalla...
Publicar un comentario
Leer más