A VMware lançou atualizações para resolver várias falhas de segurança que afetam seus softwares Workstation e Fusion, sendo que a mais crítica pode permitir que um invasor local obtenha a execução do código.

A vulnerabilidade, rastreada como CVE-2023-20869, é descrita como uma vulnerabilidade de estouro de buffer baseada em pilha que reside na funcionalidade de compartilhamento de dispositivos Bluetooth do host com a máquina virtual.

“Um ator mal-intencionado com privilégios administrativos locais em uma máquina virtual pode explorar esse problema para executar o código com o processo VMX da máquina virtual em execução no host”, disse a empresa.

Também corrigida pela VMware está uma vulnerabilidade de leitura fora dos limites que afeta o mesmo recurso (CVE-2023-20870), que pode ser abusada por um adversário local com privilégios de administrador para ler informações confidenciais contidas na memória do hipervisor de uma máquina virtual.

As falhas foram corrigidas no Workstation versão 17.0.2 e no Fusion versão 13.0.2. Como solução temporária a VMware sugere que os usuários desativem o suporte a Bluetooth na máquina virtual.