شرکت VMware اعلام کرده است که دو آسیبپذیری با شدت بالای موجود در نرمافزار Tools و Workstation خود را وصله کرده است. آسیبپذیری اول که با شناسهی CVE-2019-5522 ردیابی میشود، VMware Tools 10.x ویندوز را تحت تأثیر قرار میدهد و بهعنوان یک مسألهی خواندن خارج از محدوده در درایور vm3dmp توصیف شده است که در دستگاههای مهمان ویندوز نصب میشود.
شرکت VMware در مشاورهنامهی خود بیان کرد که یک مهاجم محلی با دسترسی غیر مدیریتی به یک مهمان ویندوز میتواند با VMware Tools نصبشده اطلاعات هسته را افشا کند یا یک حملهی منع سرویس در همان دستگاه مهمان ویندوز راهاندازی کند. این آسیبپذیری که توسط پژوهشگران به VMware گزارش شده بود، با انتشار نسخهی ۱۰٫۳٫۱۰ وصله شده است.
آسیبپذیری دوم که با شناسهی CVE-2019-5525 ردیابی میشود، یک اشکال استفاده پس از آزادسازی است که Advanced Linux Sound Architecture (ALSA) در VMware Workstation 15.x را تحت تأثیر قرار میدهد. VMware بیان میکند که این آسیبپذیری میتواند به یک مهاجم با امتیازات کاربر عادی در دستگاه مهمان اجازه دهد تا کد دلخواه را در میزبان لینوکسی که در آن Workstation نصب شده، اجرا کند. بااینحال، اجرای کد تنها درصورتی امکانپذیر است که این آسیبپذیری با آسیبپذیری دیگری ترکیب شود. VMware Workstation 15.1.0 لینوکس این آسیبپذیری را رفع میکند.
این آسیبپذیریها براساس امتیاز خود در سیستم نمرهدهی CVSS، «با شدت بالا» هستند و VMware آنها را «مهم» ارزیابی کرده است.
