Artículo: Hackers Find Code Execution Flaw in VMware Workstation | SecurityWeek.Com

VMware informó a los clientes el domingo que ha parcheado una vulnerabilidad de acceso a memoria crítica fuera de los límites que afectan a sus productos de estación de trabajo y la fusión.
http://www.securityweek.com/hackers-find-code-execution-flaw-vmware-workstation

Traducción Google:
La falla, rastreado como CVE-2016-7461 , afecta a la función de arrastrar y soltar, y puede ser explotado desde el invitado para ejecutar código arbitrario en el sistema operativo un host que ejecuta la fusión o estación de trabajo.
El agujero de seguridad afecta a la estación de trabajo del jugador y Pro 12.x, y la fusión 8.x (Pro)El tema ha sido parcheado con el lanzamiento de las versiones 12.5.2 y 8.5.2, respectivamente. ESXi no se ve afectada.
De acuerdo con VMware, la vulnerabilidad no puede ser explotada en contra de estaciones de trabajo Pro o fusión si las funciones tanto de la de arrastrar y soltar y copiar y pegar están desactivados. Esta solución no funciona en la estación de trabajo del jugador.
La vulnerabilidad se divulgó recientemente en PwnFest , un concurso de hacking que tuvo lugar en Corea del Sur en el 2016 poder de la comunidad (POC) conferencia de seguridad.
VMware ha acreditado Qinghao Tang Ying y Xinlei del equipo de Marvel Qihoo 360 y Junghoon Lee (lokihardt) para encontrar la falla. La recompensa por la piratería VMware Workstation Pro 12 en Windows 10 en PwnFest fue de $ 150.000.PwnFest participantes ganaron cientos de miles de dólares para la piratería de productos Microsoft, Google, Adobe, VMware y Apple.
El gigante de la virtualización de clientes informó la semana pasada que varios de sus productos seven afectados por la vulnerabilidad del núcleo de Linux divulgada recientemente (CVE-2016 a 5195). Los productos afectados incluyen Identity Manager, vRealize Automatización y Operaciones vRealize.
El vendedor ha comenzado la liberación de actualizaciones de software para solucionar la falla de elevación de privilegios local. Parches para el Gestor de identidades, vRealize automatización y la versión 5.x de Operaciones vRealize todavía están pendientes.
The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.