20 avril 2025

Krusell France

Ta dose d'actu digital !

Faille de sécurité corrigée dans les VMware Tools pour Windows : ce qu’il faut savoir

4 semaines ago Julien Castex
Une faille dans les VMware Tools pour Windows - CVE-2025-22230
Rate this post

Une faille de sécurité majeure a été corrigée dans les VMware Tools pour Windows ! Un attaquant local peut obtenir des privilèges élevés dans les machines virtuelles grâce à cette vulnérabilité. Voici ce qu’il faut savoir.

Sommaire masquer
1 Mise à jour de sécurité pour les VMware Tools Windows
2 Faille de sécurité et attaque potentielle
3 Historique des failles chez VMware
4 Actualités similaires :

Mise à jour de sécurité pour les VMware Tools Windows

Broadcom a déployé une mise à jour de sécurité pour corriger une nouvelle faille de sécurité, associée à la référence CVE-2025-22230 et à un score CVSS de 7.8 sur 10. Cette vulnérabilité affecte directement les VMware Tools pour Windows. Pour rappel, ce composant additionnel représente un ensemble de pilotes et il s’installe dans les machines virtuelles pour améliorer les performances, la compatibilité et l’intégration avec l’hyperviseur VMware.

Faille de sécurité et attaque potentielle

Dans le cas présent, la faille de sécurité permet à un attaquant local disposant de faibles privilèges d’obtenir des droits élevés sur la machine virtuelle. Autrement dit, si un attaquant parvient à obtenir un accès sur une VM Windows qui exécute une version vulnérable des VMware Tools, il peut alors élever ses privilèges sur Windows.

Découverte par Sergey Bliznyuk de Positive Technologies, cette vulnérabilité provient d’une faiblesse dans le contrôle d’accès. Selon VMware : “Un acteur malveillant disposant de privilèges non administratifs sur une machine virtuelle Windows invitée peut obtenir la capacité d’exécuter certaines opérations à privilèges élevés au sein de cette VM”. Aucune interaction d’un utilisateur n’est requise.

Précision importante : les versions Linux et macOS des VMware Tools ne sont pas concernées. Pour vous protéger, vous devez utiliser les VMware Tools 12.5.1 puisque toutes les versions 12.x.x et 11.x.x sont vulnérables.

Historique des failles chez VMware

Ce n’est pas la première fois que Broadcom doit réagir rapidement face à des vulnérabilités importantes dans les produits VMware. D’ailleurs, plus tôt ce mois-ci, Broadcom a corrigé trois failles zero-day (CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226), qui avaient déjà été exploitées par des attaquants, dans ses produits dont VMware ESXi.

Le suivi des mises à jour des produits VMware doit être une priorité pour les entreprises utilisatrices de ces solutions. À ce jour, la vulnérabilité CVE-2025-22230 n’est pas exploitée par les cybercriminels.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Google Pixel : Faille de sécurité corrigée par Google – Ce qu’il faut savoir
  2. Faille de sécurité critique corrigée dans OpenSSH : comment se protéger ?
  3. Alerte sécurité : faille critique corrigée dans Fortinet Wireless Manager
  4. Mise à jour critique pour les routeurs ASUS : faille de sécurité corrigée
  5. Nouvelles mesures de sécurité pour Windows 11 24H2 : ce qu’il faut savoir
  6. Un problème de sécurité majeur dans la fonction “Vue unique” de WhatsApp : ce qu’il faut savoir
Tags:

Plus d'actu

Sécurité Active Directory - Validation PAC Kerberos - Avril 2025

Comment anticiper les effets du Patch Tuesday d’avril 2025 sur le PAC de Kerberos

5 jours ago Julien Castex
Google Chrome 136 - Correction d'un vieux problème de sécurité

Google Chrome 136 : comment une nouvelle fonctionnalité protège votre historique de navigation

6 jours ago Julien Castex
Windows - ne supprimez pas le dossier inetpub par sécurité

Dossier “inetpub” sur Windows : ce que vous devez savoir

1 semaine ago Julien Castex

Vous avez peut-être manqué

Sécurité Active Directory - Validation PAC Kerberos - Avril 2025

Comment anticiper les effets du Patch Tuesday d’avril 2025 sur le PAC de Kerberos

5 jours ago Julien Castex
Marathon developer interview: Bungie shares more on its extraction FPS action

Bungie dévoile le gameplay captivant de Marathon un FPS de survie à ne pas manquer

5 jours ago Alex Lopez
Samsung’s Galaxy Xcover 7 and Tab Active 5 Pro Pack Snapdragon 7s Gen 3 and Military-Grade Toughness

Samsung dévoile le Galaxy Xcover 7 et le Galaxy Tab Active 5 Pro avec Snapdragon 7s Gen 3

5 jours ago Julien Castex
Assorted Apple products exempt from Trump administration reciprocal tariffs

Pas de tarifs supplémentaires pour les iPhones et autres produits Apple en provenance de Chine

6 jours ago Lea Corbini