-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [16-07-2025]: Atualizações com correções de vulnerabilidades em produtos VMware

Prezados(as),

O CAIS alerta a comunidade de segurança cibernética sobre a publicação de atualizações que corrigem múltiplas vulnerabilidades, incluindo três de severidade crítica, em diversos produtos VMware.

1) Produtos afetados;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição das vulnerabilidades;
4) Mitigação e correções disponíveis; e
5) Mais Informações.


1) Produtos afetados:
    VMware ESXi 8.0: versões anteriores a ESXi80U3f-24784735 ou ESXi80U2e-24789317
    VMware ESXi 7.0: versões anteriores a ESXi70U3w-24784741 
    VMware Workstation Pro 17.x: versões anteriores a 17.6.4 
    VMware Fusion 13.x: versões anteriores a 13.6.4 
    VMware Tools para Windows 13.x.x: versões anteriores a 13.0.1.0 
    VMware Tools para Windows 12.x.x: versões anteriores a 12.5.3 
    Outros produtos como VMware Cloud Foundation e Telco Cloud Platform também são afetados. 

2) Identificadores CVE (http://cve.mitre.org):
    CVE-2025-41236
    CVE-2025-41237
    CVE-2025-41238
    CVE-2025-41239

3) Descrição da(s) vulnerabilidade(s):
    Conforme o boletim de segurança VMSA-2025-0013, as vulnerabilidades são detalhadas a seguir:

    CVE-2025-41236 (Severidade Crítica - CVSSv3 9.3): Uma vulnerabilidade de integer-overflow no adaptador de rede virtual VMXNET3. Um ator malicioso com privilégios administrativos locais em uma máquina virtual pode explorar esta falha para executar código no host. Adaptadores de rede que não sejam VMXNET3 não são afetados. 

    CVE-2025-41237 (Severidade Crítica - CVSSv3 9.3): Uma vulnerabilidade de integer-underflow na Interface de Comunicação da Máquina Virtual (VMCI) que leva a uma escrita fora dos limites (out-of-bounds write). Um ator malicioso com privilégios de administrador local em uma VM pode usar essa falha para executar código como o processo VMX da máquina virtual no host. No Workstation e Fusion, isso pode levar à execução de código na máquina hospedeira. 

    CVE-2025-41238 (Severidade Crítica - CVSSv3 9.3): Uma vulnerabilidade de heap-overflow no controlador Paravirtualized SCSI (PVSCSI). De forma semelhante à anterior, um atacante com privilégios administrativos na VM pode executar código como o processo VMX da máquina virtual no host. No Workstation e Fusion, isso pode levar à execução de código na máquina hospedeira. 

    CVE-2025-41239 (Severidade Alta - CVSSv3 7.1): Uma vulnerabilidade de divulgação de informações em vSockets devido ao uso de memória não inicializada. Um ator malicioso com privilégios administrativos locais na VM pode vazar informações de memória de processos que se comunicam via vSockets. Esta falha afeta o VMware Tools para Windows.

4) Mitigação e correções disponíveis:
    Recomenda-se atualizar para as versões de correção, conforme divulgado pelo fornecedor: 
    VMware ESXi 8.0: ESXi80U3f-24784735 ou ESXi80U2e-24789317
    VMware ESXi 7.0: ESXi70U3w-24784741 
    VMware Workstation Pro 17.x: 17.6.4 
    VMware Fusion 13.x: 13.6.4 
    VMware Tools para Windows 13.x.x: 13.0.1.0 
    VMware Tools para Windows 12.x.x: 12.5.3 
    VMware vSphere Foundation e VMware Cloud Foundation: 9.0.0.0.0


5) Mais Informações:
    Para mais detalhes sobre as vulnerabilidades CVE-2025-41236, CVE-2025-41237, CVE-2025-41238 e CVE-2025-41239 e seus impactos, consulte o boletim VMSA-2025-0013 da Broadcom. Para os relatórios de "Release notes" pode se encontrar no campo "4. References" presente no boletim em questão.

    Boletim VMSA-2025-0013:
        https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

#######################################################################
#       CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)        #
#              Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                                     #
# cais@cais.rnp.br       https://www.rnp.br/cais                      #
# Tel. 019-37873300      Fax. 019-37873301                            #
#                        https://www.rnp.br/cais/#SistemadeAlerta     #
# Chave PGP disponível   https://plataforma.rnp.br/cais/cais-pgp.key  #
#######################################################################
-----BEGIN PGP SIGNATURE-----
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=Wfbk
-----END PGP SIGNATURE-----