A l’occasion d’un ‘hackaton’ en Chine – c’est-à-dire un concours de piratage informatique – des chercheurs participants ont découvert quatre failles critiques dans les hyperviseurs de bureau Workstation et Fusion de VMware, mais aussi dans l’hyperviseur de serveur ESXi.
Les deux vulnérabilités les plus critiques – CVE-2024-22252 et 22253 – ont reçu la note de 9,3/10 et sont à corriger d’urgence, selon Broadcom/VMware. En effet, une personne malveillante disposant de privilèges d’administration locale sur une machine virtuelle pourrait exécuter du code en dehors de l’invité·e.
Rappelons que les hyperviseurs sont censés fournir une couche d’isolation inviolable entre les machines virtuelles et le matériel.
Les contrôleurs USB virtuels sont à l’origine de ces vulnérabilités. VMware recommande donc de les supprimer des machines virtuelles pour contourner le problème. « La plupart des versions de Windows et de Linux prennent en charge l’utilisation de la souris et du clavier PS/2 virtuels. La suppression des périphériques inutiles tels que les contrôleurs USB est recommandée dans le cadre des conseils de renforcement de la sécurité », publie VMware, dans un avis de sécurité. Des patches sont par ailleurs désormais mis à disposition par l’éditeur.