Une vulnérabilité de sécurité critique, divulguée par une personne anonyme via la Zero Day Initiative, affecte des produits du spécialiste de la virtualisation VMware.

VMware ESXi, Workstation et Fusion contiennent un bogue de type ‘hors des limites’ dans le pilote SVGA, qui permet à un attaquant d’exécuter du code sur l’hôte : l’hyperviseur devient une passoire.

Il est répertorié sous le numéro CVE-2018-6974. Aucun moyen d’atténuer le risque est connu – il est impératif d’appliquer les correctifs de sécurité ou les mises à jour adéquates, comme indiqué dans le bulletin de sécurité VMSA-2018-0026 de VMware.

En voici un résumé :

Produit Version Tournant sur Correctif / nouvelle version
ESXi 6.7 ESXi ESXi670-201810101-SG
ESXi 6.5 ESXi ESXi650-201808401-BG
ESXi 6.0 ESXi ESXi600-201808401-BG
Workstation 14.x N’importe 14.1.3
Fusion 10.x macOS 10.1.3

 

Zero Day Initiative est une initiative de TrendMicro afin d’inciter les chercheurs à alerter les vendeurs affectés, en leur octroyant une compensation financière. L’alternative étant la vente sur le marché noir à des organisations criminelles ou à des agences de renseignement, ou bien de n’alerter personne.