Múltiples vulnerabilidades en productos VMware

Publicado el 20 enero 2014 ¬ 12:01 pmh.mscComentarios desactivados en Múltiples vulnerabilidades en productos VMware

Alex Chapman, Recurity Labs GmbH y Mattia Folador han descubierto varias
vulnerabilidades en VMware Workstation, Player, Fusion, ESXi, ESX y
Cloud Director que podrían ser aprovechadas por un atacante para causar
una denegación de servicios o ataques de tipo ‘cross-site request
forgery’ (CSRF).

VMware es un software que permite ejecutar diferentes sistemas
operativos en un mismo PC de forma virtual. Entre otras aplicaciones,
VMware es muy utilizado en seguridad informática por la versatilidad
que ofrece. Por ejemplo, se suele utilizar de forma habitual en la
investigación del malware, ya que permite ejecutar y analizar los
especímenes en entornos virtuales controlados.

La primera de las vulnerabilidades, con CVE-2014-1207, podría causar una
dereferencia a puntero nulo al producirse un error al manejar tráfico
Network File Copy(NFC). Un atacante remoto podría causar una denegación
de servicio a través de tráfico NFC especialmente manipulado. Afecta a
VMWARE ESX Versiones 4.0 a 4.1 y VMWARE ESXi versiones 4.0 a 4.1 y 5.0 a
5.5

La siguiente vulnerabilidad, con CVE-2014-1208, se debe a un error al
manejar incorrectamente puertos no válidos que podría ser aprovechado
por un atacante remoto para causar una denegación de servicio. Afecta a
versiones VMWARE Workstation 9.0, VMWARE Player 5.0, VMWARE Fusion 5.0,
VMWARE ESX Versiones 4.0 a 4.1 y VMWARE ESXi versiones 4.0 a 4.1 y 5.0 a
5.5

La tercera vulnerabilidad, con CVE-2014-1211, reside en un error en el
protocolo HTTP que provocaría que un atacante pudiese engañar a un
usuario autentificado mediante un enlace malicioso, lo que causaría la
pérdida automática de sesión del usuario. Afecta a VMWARE vCloud
Director v 5.1.x

Se han publicado actualizaciones para corregir los problemas en todas
las versiones afectadas, disponibles desde la página del aviso de
VMWare:
http://www.vmware.com/security/advisories/VMSA-2014-0001.html
__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Noticias, Vulnerabilidades, , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies