Actualización de seguridad para VMware vSphere Client

Actualización de seguridad para VMware vSphere Client

Fecha: 14/04/2014

Descripción: 

VMware ha alertado sobre dos vulnerabilidades en VMware vSphere Client que permitirían la descarga de actualizaciones no oficiales y la suplantación de identidad de servidores vCenter.

Detalle: Las vulnerabilidades detectadas son:

  • Descarga de actualizaciones de fuentes inseguras (CVE-2014-1209)
  • Esta vulnerabilidad permite aceptar un actualización de VMware vSphere Client desde una fuente no confiable. Este hecho podría permitir a un cliente particular vSphere Client descargar y ejecutar un archivo arbitrario de cualquier URI. Esta vulnerabilidad puede ser explotada si el anfitrión ha sido comprometido o si un usuario ha sido engañado para hacer clic en un enlace malicioso.

  • Vulnerabilidad de spoofing (CVE-2014-1210)
  • Vulnerabilidad en la validación del certificado de seguridad del servidor que puede ser usada para falsificar la identidad de un servidor vCenter. Para su utilización un usuario tendría que ser engañado para hacer clic en un enlace malicioso.