В ходе конкурса PwnFest 2016 эксперты из Qihoo 360 показали атаку на VMware Workstation 12.5.1, в результате которой они полностью захватили контроль над платформой. Представители VMware раскрыли некоторые сведения об уязвимости, использованной исследователями.
Уязвимость чтения за пределами поля выделенной памяти находится в функции drag-and-drop в VMware Workstation и Fusion. Эта ошибка дает «гостю» возможность запускать произвольный код на операционной системе, которая работает на виртуальной машине Workstation или Fusion.
Сотрудники VMware утверждают, что уязвимостью затронуты Workstation Pro 12, Workstation Player 12, Fusion Pro 8 и Fusion 8.
Специалисты компании подготовили обновления VMware Workstation Pro 12.5.2, Workstation Player 12.5.2, Fusion Pro 8.5.2, Fusion 8.5.2, которые устраняют упомянутую выше уязвимость. Также представители VMware для предотвращения использования уязвимости предлагают временно отключить функции drag-and-drop и copy-and-paste.