Une faille de sécurité dans VMware : grave?

La société Core Security Technologies (CST) affirme avoir trouvé une faille critique dans les versions « desktop » des applications VMware (VMware Workstation, Player et ACE).

Virtualiser le système d’exploitation ne serait donc plus un gage de sécurité ? CST révèle que les logiciels malicieux peuvent transiter de la machine émulée vers le PC hôte, en passant par les dossiers partagés de VMware. Cette faille permettrait donc d’accéder à l’ensemble du système de fichiers de la machine. Partant de là, plus rien n’empêche de prendre le contrôle du PC physique en modifiant ses fichiers systèmes.

À défaut de pouvoir étudier de plus près les effets de l’exploit de Core Security Technologies, il est difficile de se faire une idée sur la réelle dangerosité de cette faille.

Les utilisateurs avertis auront toutefois remarqué que les versions serveur de VMware ne sont pas touchées (les version clientes pour Linux et Mac OS X ne sont pas concernées non plus).

Or, ce sont bien celles-ci que les hébergeurs mettent à disposition sur Internet. Du coup, la faille perd tout de suite une bonne partie de sa ‘gravité’ ! Effectivement, les versions clientes sont – en général – utilisées uniquement de façon locale. Pour les utilisateurs, la solution est alors simple : il suffit de désactiver le partage de dossiers pour régler temporairement le problème, en attendant que VMware sorte un correctif.

Il reste que Core Security Technology réussit là un beau coup médiatique… en découvrant une faille « critique » le premier jour de la VMworld Europe 2008.