ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

KLA11018
Vulnerabilidades múltiplas em produtos VMware
Atualizado: 07/05/2018
CVSS
?
7.5
Data de detecção
?
05/18/2017
Nível de gravidade
?
Crítico
Descrição

Várias vulnerabilidades sérias foram encontradas em produtos VMware. Usuários mal-intencionados podem explorar essas vulnerabilidades para executar código arbitrário e causar uma negação de serviço.

Abaixo está uma lista completa de vulnerabilidades:

  1. Uma vulnerabilidade de estouro de buffer de pilha pode ser explorada remotamente para executar código arbitrário;
  2. Várias vulnerabilidades de estouro de buffer de heap no TPView.dll podem ser exploradas para executar código arbitrário ou causar uma negação de serviço;
  3. Diversas vulnerabilidades de leitura / gravação fora do limite no TPView.dll podem ser exploradas para executar código arbitrário ou causar uma negação de serviço;
  4. Uma vulnerabilidade de overflow de número inteiro no TPView.dll pode ser explorada para executar código arbitrário ou causar uma negação de serviço;

Detalhes técnicos

A vulnerabilidade (1) existe no VMware Unified Access Gateway e no VMware Horizon View.

Vulnerabilidades (2), (3) estão relacionadas aos analisadores JPEG2000 e TTF (TrueType Font).

A exploração de vulnerabilidades (2), (3) é possivelmente apenas no caso de a impressão virtual estar ativada. Observe que esse recurso de produto é ativado por padrão no VMware Horizon View e não está ativado em produtos da VM Workstation.

Vulnerabilidades (2) – (4) existem nos produtos VMware Horizon View Client para Windows e VMware Workstation.

Vulnerabilidade (4) está relacionada ao analisador TTF (TrueType Font).

NB: Neste momento, a VMware reservou apenas números CVE para essas vulnerabilidades. As informações podem ser alteradas em breve.

Produtos afetados

VMware Horizon View 6.x antes de 6.2.4
VMware Horizon View 7.x antes de 7.1.0
VMware Horizon View Client 4.x para Windows antes de 4.4.0
VMware Workstation Player 12.x antes de 12.5.3
VMware Workstation Pro 12.x antes do 12.5.3
VMware Unified Access Gateway 2.8x, 2.7x, 2.5x antes de 2.8.1

Solução

Atualize para as versões mais recentes
Baixar VMware Workstation Pro
Faça o download do VMware Workstation Player

Comunicados originais

VMware Security Advisory

Impactos
?
ACE 
[?]

DoS 
[?]
Produtos relacionados
VMware Workstation
VMware Player
VMware Horizon View Client
CVE-IDS
?

CVE-2017-4907
CVE-2017-4908
CVE-2017-4909
CVE-2017-4910
CVE-2017-4911
CVE-2017-4912
CVE-2017-4913


Link para o original