VMware – correzione vulnerabilità potenzialmente gravi su alcuni prodotti

06/08/2019

cve-2019-5521 cve-2019-5684 esxi nvidia VMware

Lo scorso venerdì VMware ha notificato la presenza di due vulnerabilità di pixel shader con impatto sui prodotti ESXi, Workstation e Fusion.

 

La più grave delle falle, contrassegnata dal CVE-2019-5684, consentirebbe l’esecuzione di codice arbitrario sull’host ed impatta i sistemi che utilizzano i driver di visualizzazione NVIDIA per Windows. Il noto marchio produttore di processori grafici ha classificato la vulnerabilità come importante, con un punteggio CVSS di 7,8. Dalla scorsa settimana NVIDIA ha rilasciato gli aggiornamenti per la patch GPU Display Driver che risolvono il problema di sicurezza.

Dalle informazioni diramate si apprende che NVIDIA ha risolto altre vulnerabilità del driver di visualizzazione GPU di Windows mentre VMware ha specificato che lo sfruttamento delle vulnerabilità, di cui i CVE-2019-5684 e CVE-2019-5521, richiedono l’accesso alla macchina virtuale di destinazione e che la grafica 3D deve essere abilitata. Tale impostazione è attiva, in modo predefinito, in Workstation e Fusion, ma non in ESXi.

Come soluzione momentanea all’installazione del software correttivo è quindi possibile disabilitare la funzione di accelerazione 3D.

Prodotti impattati:

  • VMware vSphere ESXi (ESXi)
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)

Approfondimenti

Per dettagli aggiuntivi circa l’impatto delle vulnerabilità e versioni di software coinvolte, è necessario fare riferimento all’avviso VMSA-2019-0012 rilasciato da VMware.

Di seguito i collegamenti per applicare il software correttivo rilasciato dal vendor sui prodotti affetti:

Il CVE-2019-5684, che può comportare l’esecuzione di codice sull’host, può essere sfruttato solo in presenza di specifici driver NVIDIA a tal proposito si consiglia di controllare gli avvisi di sicurezza emessi dal produttore.