- Date : 25 Avril 2012

- Criticité : Elevée

- Description :
Après l’affaire PCanywhere de Symantec (voir CXA-2012-0125, CXA-2012-0139 et CXA-2012-0188), c’est au tour de VMware de voir le code source de l’un de ses logiciels divulgués sur Internet.

VMware a en effet reconnu publiquement mardi qu’un fichier contenant du code source de leur hyperviseur ESX avait été publié sur Internet par un Anonymous. L’éditeur a par ailleurs ajouté qu’il était possible que d’autres fuites aient lieu dans un futur proche, mais que la publication du code source de l’application n’impliquait pas nécessairement un risque plus grand pour les utilisateurs de ses produits.

Le pirate qui se fait appeler "Hardcore Charlie" prétend avoir téléchargé environ 300 Mo de code source.

Selon l’éditeur, le code source de ses produits est déjà partiellement partagé avec ses partenaires afin de développer l’écosystème des produits de virtualisation. La fuite pourrait donc potentiellement venir d’un partenaire. Dans tous les cas, VMware a annoncé prendre la fuite très au sérieux, et avoir débuté à en rechercher l’origine.

- Références :

http://blogs.vmware.com/security/2012/04/vmware-security-note.html

http://thehackernews.com/2012/04/vmware-source-code-leaked-by-anonymous.html

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0125

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0139

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0188

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0699