На Pwn2Own 2019 Амат Кама и Ричард Чжу из команды Fluoroacetate продемонстрировали две уязвимости VMware Workstation, в том числе одну, которая была использована в сложном эксплойте, нацеленном на браузер Microsoft Edge. Они заработали 70 000 долларов за выход из виртуальной машины VMware Workstation и выполнение кода в базовой операционной системе хоста и 130 000 долларов за эксплойт Edge.
Обновления, выпущенные VMware для ESXi, Workstation и Fusion (только для MacOS), устраняют эти недостатки. Поставщик описал эти проблемы как нестабильную уязвимость чтения / записи и ошибку времени проверки (TOCTOU) в виртуальном универсальном интерфейсе хоста USB 1.1 (UHCI). Для этих уязвимостей были назначены идентификаторы CVE CVE-2019-5518 и CVE-2019-5519, причем оба они классифицированы как «критические».
VMware также исправила критическую уязвимость записи за пределами допустимого диапазона в виртуальном сетевом адаптере e1000, используемом Workstation и Fusion (только в macOS). Дыра безопасности, обнаруженная Чжанъянью из китайской компании Chaitin Tech, может позволить гостю выполнить произвольный код на хосте. Эта проблема отслеживается как CVE-2019-5524.
Аналогичный недостаток, влияющий на рабочую станцию и Fusion, был обнаружен ZhanluLab в виртуальных сетевых адаптерах e1000 и e1000e. Хотя использование этого недостатка может привести к выполнению кода на хосте из гостевой операционной системы, более вероятным результатом является условие отказа в обслуживании (DoS) для гостя. Этому вопросу был присвоен уровень серьезности «важный».
VMware сообщила клиентам, что Fusion 11.x, работающий на macOS, подвержен критической уязвимости, которая отслеживается как CVE-2019-5514. О недостатке сообщили компании независимый китайский исследователь, который использует онлайн-прозвище CodeColorist и венгерский исследователь Csaba Fitzl.
«VMware Fusion содержит уязвимость безопасности из-за определенных неаутентифицированных API, доступных через веб-сокет. Злоумышленник может использовать эту проблему, обманув пользователя хоста для выполнения JavaScript для выполнения несанкционированных функций на гостевой машине, на которой установлен VMware Tools. Это может также использоваться для выполнения команд на гостевых машинах», - пояснил VMware в своей рекомендации.
В отдельной публикации VMware описала критическую уязвимость, затрагивающую VMware vCloud Director для поставщиков услуг. Этот недостаток, отслеживаемый как CVE-2019-5523, влияет на vCD 9.5.x на любой платформе и позволяет удаленному злоумышленнику перехватывать сеансы для порталов Tenant и Provider путем олицетворения текущего сеанса, вошедшего в систему.