В решениях VMware Workstation и Fusion устранена критическая уязвимость


VMwareВ рамках конкурса PwnFest 2016 экспертами из компании Qihoo 360 и хакером LokiHardt, была продемонстрирована атака на VMware Workstation 12.5.1. В результате специалистам удалось получить полный контроль над платформой. Компания VMware опубликовала некоторые подробности о выявленной уязвимости.

CVE-2016-7461 - ошибка, вызванная проблемой чтения за пределами поля выделенной памяти, которая присутствует в функции перетаскивания (drag-and-drop, DnD) в решениях VMware Workstation и Fusion. Данная уязвимость позволяет "гостю" инициировать запуск произвольного кода на операционной системе, работающей в виртуальных машинах Workstation или Fusion.

 

Производитель предупреждает, что проблема затрагивает следующие продукты компании:

  • Workstation Pro (версии 12.х);
  • Workstation Player (12.х);
  • Fusion Pro;
  • Fusion 8.x,

(работающие в среде Mac OS X).


Разработчик уже выпустил обновления:

  • VMware Workstation Pro 12.5.2;
  • VMware Workstation Player 12.5.2;
  • VMware Fusion Pro / Fusion 8.5.2,

устраняющие вышеуказанную уязвимость. Для временного решения по предотвращению эксплуатации проблемы, производитель предлагает отключить функции DnD и C&P (copy-and-paste).


Обновлено (15.11.2016 21:49)