Эксплуатируя брешь, злоумышленник мог получить полный контроль над гостевой ОС.
Во вторник, 3 декабря, компания VMware выпустила исправление, устраняющих уязвимость CVE-2013-3519 в нескольких популярных программных продуктах.
Согласно утверждению разработчиков, уязвимость была обнаружена в продуктах Workstation, Fusion, ESXi и ESX и приводила к превышению привилегий на 32-битной гостевой ОС Windows 2000 Server, Windows XP и Windows 2003 Server на ESXi и ESX; или Windows XP на Workstation и Fusion.
По словам представителей компании, уязвимость, существующая из-за ошибки в драйвере lgtosync.sys, позволяла злоумышленнику манипулировать распределением памяти. При этом, брешь не позволяла манипулировать памятью основной ОС.
Уязвимость распространяется на следующие продукты:
VMware Workstation 9.x до версии 9.0.3
VMware Player 5.x до версии 5.0.3
VMware Fusion 5.x до версии 5.0.4
VMware ESXi 5.1 до исправления ESXi510-201304102
VMware ESXi 5.0 до исправления ESXi500-201303102
VMware ESXi 4.1 до исправления ESXi410-201301402
VMware ESXi 4.0 до исправления ESXi400-201305401
VMware ESX 4.1 до исправления ESX410-201301401
VMware ESX 4.0 до исправления ESX400-201305401
Подробнее с описанием уязвимости можно ознакомиться по адресу: http://www.securitylab.ru/vulnerability/448319.php