Фирма VMware, занимающаяся разработкой программного обеспечения для виртуализации, выпустила обновления, которые ликвидируют две уязвимости в продукции компании. Одна уязвимость получила статус критической, а вторая была отмечена экспертами как важная.
Причиной существования критической уязвимости является некорректное выполнение RMI-сервером десериализации аутентификационной информации в компоненте Oracle JRE JMX. Используя уязвимость, злоумышленник может выполнять произвольный код дистанционно. Проблема касается целого ряда продуктов: vCenter Server 5.0, 5.1, 5.5 и 6.0 для Windows и Linux; vCloud Director 5.5, 5.6 и 8.0 для Linux; vSphere Replication 5.6, 5.8, 6.0 и 6.1 для Linux; vRealize Operations Manager 6. В свободном доступе находятся исправления для всех продуктов, кроме vSphere Replication 6.1. Как утверждают представители VMware, уязвимость может быть использована только при наличии запущенного vCloud Tunneling Agent.
Кроме того, была ликвидирована уязвимость, связанная с некорректной ссылкой на один из исполняемых файлов со стороны Windows-версий VMware Workstation и Player. Используя ошибку, локальный пользователь может повышать свои привилегии на системе. Уязвимостью затронуты Windows-версии VMware Workstation 11 и Player 7.