Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

VMware ACE : Vulnérabilités Diverses

01/09/2008 15H38
Référence Secunia : SA31710 
Date de publication : 2008-09-01

Risque : Elevé. Niveau 4 sur 5.
Impact : Elévation de privilèges, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
VMware ACE 1.x
VMWare ACE 2.x

Référence CVE :
CVE-2008-3696


Description :
VMware a reconnu quelques vulnérabilités dans VMware ACE, qui pourraient être exploitées par des utilisateurs locaux malveillants pour obtenir des privilèges plus élevés et par des personnes malintentionnées pour potentiellement compromettre le système d'un utilisateur.

1) Diverses vulnérabilités sont causées du fait d'erreurs non-spécifiées dans certains contrôles ActiveX. Elles pourraient être exploitées pour par ex. exécuter du code arbitraire en incitant un utilisateur à visiter un site web malicieux.

2) Une erreur non spécifiée relative à "OpenProcess" pourrait être exploitée par des utilisateurs locaux malveillants sur un système hôte pour obtenir des privilèges plus élevés sur le système hôte.

Cette vulnérabilité affecte VMware ACE 1.x pour Windows seulement.


Solutions :
VMware ACE 1.x:
Mettre à jour en version 1.0.7 build 108880 ou supérieure.

VMware ACE 2.x:
Mettre à jour en version 2.0.5 build 109488 ou supérieure.

http://www.vmware.com/download/ace/


Vulnérabilité découverte par :

1) L'éditeur crédite Julien Bachmann, Shennan Wang, Shinnai, et Michal Bucko.
2) L'éditeur crédite Sun Bing, McAfee.

Référence :
http://lists.grok.org.uk/pipermail/full-disclosure/2008-August/064118.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.