MacBidouille

Des failles du plus haut niveau ont été découvertes dans les produits de virtualisation de VMware, il est essentiel de mettre à jour au plus tôt Fusion sous macOS vers la version 13.5.1 si vous l'utilisez.

VMware Fusion permet de créer des machines virtuelles sous macOS pour faire tourner Windows, Linux ou même macOS lui-même.
Ces machines virtuelles sont censées être isolées de l'hôte, ne pouvoir ni lire ni écrire directement dans sa mémoire en dehors de la partie qui leur est allouée, et encore moins exécuter du code voire du code arbitraire dans le contexte de l'hôte.

Las, des chercheurs en sécurité ont dévoilé des failles profondes, permettant d'exécuter du code arbitraire du coté macOS et avec les droits élevés associés à Fusion, brisant ainsi une garantie de sécurité dont certains d'entre vous se servent, par exemple pour évaluer des logiciels inconnus ou douteux.

VMware a fait diligence et sorti rapidement des mises-à-jour pour ses produits, y compris certains plus supportés, pour combler ces failles de sécurité.
Sous macOS il s'agit de Fusion 13.5.1.

La principale faille est une bug dans le driver USB UHCI de type use-after-free (usage après libération), avec un score CVSSv3 base de 9.3 sur 10.