CERTA : Vulnérabilité dans VMware
février 2008 par CERT-FR
1 Risque
Contournement de la politique de sécurité.
2 Systèmes affectés
* VMware Workstation versions 6.0.2 et antérieures ;
* VMware Workstation versions 5.5.4 et antérieures ;
* VMware Player versions 2.0.2 et antérieures ;
* VMware Player versions 1.0.4 et antérieures ;
* VMware ACE versions 2.0.2 et antérieures ;
* VMware ACE versions 1.0.2 et antérieures.
3 Résumé
Une vulnérabilité dans VMware installé sur Windows permet de contourner la
politique de sécurité.
4 Description
La fonctionnalité de répertoires partagés (shared folders) dans VMware permet
l’échange de fichiers entre une machine virtuelle et l’hôte.
Une vulnérabilité dans l’étanchéité de cette fonctionnalité permet à une
personne malveillante de contourner la politique de sécurité. L’exploitation de
cette vulnérabilité permet de créer et de modifier des fichiers dans
l’arborescence de l’hôte.
5 Contournement provisoire
L’éditeur recommande de désactiver la fonctionnalité répertoires partagés
(shared folders) dans l’attente d’un correctif.
6 Documentation
* Bulletin d’alerte VMware 1004034 :