VMware advirtió a los usuarios sobre una vulnerabilidad de denegación de servicio "importante" en ESXi, Workstation y Fusion que depende de un problema con el renderizado 3D.
La vulnerabilidad (CVE-2018-6977) permite que un atacante con privilegios de usuario locales normales active un bucle infinito en un sombreador de renderizado 3D. Según VMware, un "sombreador 3D especialmente diseñado puede repetirse durante una cantidad infinita de tiempo y bloquear el dispositivo de gráficos virtual de una máquina virtual".
Si eso sucede, advirtió VMware, el hipervisor puede confiar en el controlador de gráficos de la caja del host para garantizar que otros usuarios de la máquina física no se vean afectados por el bucle gráfico infinito.
“Sin embargo, muchos controladores de gráficos pueden entrar en una condición de denegación de servicio causada por dichos sombreadores infinitos y, como resultado, otras máquinas virtuales o procesos que se ejecutan en el host también pueden verse afectados”, dijo VMware en un comunicado.
El error fue descubierto por Piotr Bania de Cisco Talos.
Explotar con éxito el error permitiría a un atacante hacer que la máquina virtual no responda y "en algunos casos, posiblemente resulte en que otras máquinas virtuales en el host o el propio host dejen de responder", según el entrada CVE.
Afortunadamente, la solución es sencilla: se ha instado a los administradores a desactivar las funciones de aceleración 3D de las plataformas afectadas. Está deshabilitado de forma predeterminada en ESXi, aunque se necesita una acción positiva para anularlo en Workstation y Fusion. Sin embargo, no hay ningún parche para corregir el comportamiento problemático.
La información detallada es disponible en el sitio web de VMware. ®
Fuente: https://go.theregister.com/feed/www.theregister.com/2018/10/11/vmware_cve_3d_rendering/
