A VMware alertou os usuários sobre uma "importante" vulnerabilidade de negação de serviço no ESXi, Workstation e Fusion que depende de um problema de renderização 3D.

O vuln (CVE-2018-6977) permite que um invasor com privilégios de usuário local normal acione um loop infinito em um sombreador de renderização 3D. De acordo com a VMware, um “shader 3D especialmente criado pode fazer um loop por uma quantidade infinita de tempo e travar o dispositivo gráfico virtual de uma VM”.

Se isso acontecer, avisou VMware, o hipervisor pode contar com o driver gráfico da caixa do host para garantir que outros usuários da máquina física não sejam afetados pelo loop gráfico infinito.

“No entanto, muitos drivers gráficos podem entrar em uma condição de negação de serviço causada por esses sombreadores infinitos e, como resultado, outras VMs ou processos em execução no host também podem ser afetados”, disse a VMware em um comunicado.

O bug foi descoberto por Piotr Bania da Cisco Talos.

Explorar o bug com sucesso permitiria que um invasor deixasse a VM sem resposta e "em alguns casos, possivelmente resultaria em outras VMs no host ou no próprio host parando de responder", de acordo com Entrada CVE.

Felizmente, a solução alternativa é simples: os administradores foram instados a desabilitar os recursos de aceleração 3D das plataformas afetadas. Ele é desabilitado por padrão no ESXi, embora uma ação positiva seja necessária para cancelá-lo na Workstation e Fusion. No entanto, não há patch para corrigir o comportamento problemático.

Informação detalhada é disponível no site da VMware. ®

Fonte: https://go.theregister.com/feed/www.theregister.com/2018/10/11/vmware_cve_3d_rendering/