Source GNTDes produits VMWare atteints par plusieurs failles sérieuses
Une large série de produits VMWare sont touchés par de multiples failles, permettant des dénis de service ou des élévations de privilèges. Les correctifs sont pour la plupart disponibles et il est vivement conseillé de mettre à jour ses versions de WorkStation, Player, Server ou encore ACE. Des patchs seront bientôt disponibles pour Fusion et ESX Server.
Une bonne partie des produits de la société VMWare sont touchés par de multiples failles, a révélé Secunia. Les vulnérabilités les plus sérieuses ont obtenu la note de 4/5 sur l'échelle de dangerosité mise en place par la société. Sont touchés :
• VMWare Fusion : la version poste de travail destinée à Mac OS X. Des vulnérabilités dans la librairie FreeType affectent le logiciel. Celles-ci peuvent permettre à des personnes malintentionnées de causer un déni de service voire de compromettre le système de l'utilisateur. La solution temporaire consiste à n'utiliser que des polices et des fichiers PNG dignes de confiance. Des patchs sont actuellement testés mais pas encore disponibles.
• VMWare ACE et WorkStation : pour les stations de travail. Des erreurs de contrôles ActiveX et " OpenProcess " sont en cause. Elles permettent l'exécution de code arbitraire par un site Web malicieux ou, en local, à des utilisateurs d'obtenir des accès élevés sur la machine hôte. La solution consiste à mettre à jour sa version de ACE 1.x ou 2.x. WorkStation 5 et 6 sont également touchés. Une mise à jour est vivement conseillée.
• VmWare Player : version allégée de WorkStation. Les failles OpenProcess et Freetype touchent les versions Linux et Windows. Le correctif est disponible.
• VmWare Server : application serveur, elle est concernée par les failles ActiveX, Freetype et OpenProcess. De plus, une faille de l'extension ISAPI, permet un DoS. La solution : mise à jour vers 1.0.7 build 108231 ou supérieure.
Enfin, les versions de ESX Server sont concernées par la faille Freetype, à laquelle s'ajoute une erreur dans libpng. Notés 2 et 3/5 en termes de dangerosité, les corrections sont en phase de test et devraient être rapidement mises à disposition.
Rappelons enfin que VMWare est le numéro 1 de la virtualisation x86. Récemment, nous vous avions parlé de la société après son investissement dans la Fondation Linux. VMWare avait alors annoncé travailler en son sein sur le calcul intensif et le cloud computing.
Quand pense Nardino et Bernard53 ?
J'aime bien le côté "Des patchs sont actuellement testés mais pas encore disponibles"...... z'attendent que ton système soit bien mal en point sûrement ????
@+
