VMware corrige la chaîne d’exploitation critique Zero Day utilisée chez Pwn2Own.
VMware a publié des mises à jour de sécurité pour résoudre les vulnérabilités Zero Day qui pourraient être enchaînées pour obtenir des systèmes d’exécution de code exécutant des versions non corrigées des hyperviseurs logiciels Workstation et Fusion de l’entreprise. Les deux failles faisaient partie d’une chaîne d’exploitation démontrée par les chercheurs en sécurité de l’équipe STAR Labs il y a un mois, lors de la deuxième journée du concours de piratage Pwn2Own Vancouver 2023. (Sources)
Les mises à jour de VMware Workstation et Fusion corrigent plusieurs vulnérabilités de sécurité (CVE-2023-20869, CVE-2023-20870, CVE-2023-20871, CVE-2023-20872). Plusieurs vulnérabilités de sécurité dans VMware Workstation et Fusion ont été signalées en privé à VMware. Des mises à jour et des solutions de contournement sont disponibles pour corriger ces vulnérabilités dans les produits VMware concernés. VMware Workstation et Fusion contiennent une vulnérabilité de lecture hors limites qui existe dans la fonctionnalité de partage des périphériques Bluetooth hôtes avec la machine virtuelle. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité Important. VMware Fusion contient une vulnérabilité d’élévation des privilèges locaux. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité Important. (Sources)
Dans le domaine de la sécurité informatique, une vulnérabilité Zero-Day (en français : Jour zéro) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu.
L'existence d'une telle faille sur un produit implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive. La terminologie Zero Day ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique exploitant cette faille afin de conduire des actions indésirables sur le produit concerné.
Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.