VMware corrige une faille critique Zero Day utilisée chez Pwn2Own.

VMware corrige la chaîne d’exploitation critique Zero Day utilisée chez Pwn2Own.

VMware a publié des mises à jour de sécurité pour résoudre les vulnérabilités Zero Day qui pourraient être enchaînées pour obtenir des systèmes d’exécution de code exécutant des versions non corrigées des hyperviseurs logiciels Workstation et Fusion de l’entreprise. Les deux failles faisaient partie d’une chaîne d’exploitation démontrée par les chercheurs en sécurité de l’équipe STAR Labs il y a un mois, lors de la deuxième journée du concours de piratage Pwn2Own Vancouver 2023. (Sources)

Les mises à jour de VMware Workstation et Fusion corrigent plusieurs vulnérabilités de sécurité (CVE-2023-20869, CVE-2023-20870, CVE-2023-20871, CVE-2023-20872). Plusieurs vulnérabilités de sécurité dans VMware Workstation et Fusion ont été signalées en privé à VMware. Des mises à jour et des solutions de contournement sont disponibles pour corriger ces vulnérabilités dans les produits VMware concernés. VMware Workstation et Fusion contiennent une vulnérabilité de lecture hors limites qui existe dans la fonctionnalité de partage des périphériques Bluetooth hôtes avec la machine virtuelle. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité Important. VMware Fusion contient une vulnérabilité d’élévation des privilèges locaux. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité Important. (Sources)


Les vulnérabilités Zero-day représentent l'une des menaces les plus sérieuses en informatique. Ces failles, encore inconnues des développeurs et des utilisateurs, sont exploitées par les cybercriminels avant qu'un correctif puisse être développé. L'impact peut être dévastateur, permettant aux attaquants d'accéder à des données sensibles, de prendre le contrôle de systèmes informatiques ou de propager des logiciels malveillants.

Les attaques Zero-day sont difficiles à anticiper et à contrer, mettant en lumière l'importance de la surveillance constante des systèmes, de l'application rapide des correctifs et de la mise en place de mesures de sécurité robustes pour atténuer les risques.

Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.


VMware est une société informatique américaine fondée en 1998, filiale d'EMC Corporation depuis 2004, qui propose plusieurs produits propriétaires liés à la virtualisation d'architectures x86. C'est aussi par extension le nom d'une gamme de logiciels de virtualisation. VMware assure la Création des applications Cloud, il modernise celles existantes et gère l’infrastructure qui les fournit quel que soit le Cloud. En matière de réseau, il accélère les opérations des applications modernes avec la virtualisation du réseau et de la sécurité pour WAN, Data Center et Cloud. Il déploie chaque application, sur tout type de Cloud, partout, du cœur et du RAN, à la périphérie et au Cloud. Le 26 mai 2022, Broadcom confirme l'achat de VMWare pour 61 milliards de dollars et espère devenir « le leader mondial des technologies d'infrastructure ». VMware travaille avec Spring Framework, Spring Boot et Apache Tomcat depuis des années. Le runtime VMware Spring facilite la prise en charge d’ OpenJDK. Des formules d’abonnement annuel sont disponibles par pod et par cœur. Le runtime s’adapte aux dimensions de l'entreprise, quel que soit le nombre de machines virtuelles Java (JVM).


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut