É uma vulnerabilidade de cariz bastante crítico e que foi descoberta por um investigador num concurso de hacking chinês. Foi reportada esta mais grave que permite execução de código remota, e outra também grave que permite o acesso a informação sensível.

A esta falha foram dados os CVE-2018-6981 e CVE-2018-6982.

Razão para a falha

Existe essencialmente uma falha de memória no adaptador de rede virtual vmxnet3, memória essa que não chega a ser iniciada. A partir dessa memória, é possível obter uma shell desde a máquina guest à principal (host).

CVE-2018-6981

A partir desta falha, é possível correr código arbitrário no host. Os produtos afetados: ESXi, Fusion e Workstation.

CVE-2018-6982

Esta falha pode resultar no acesso do atacante a informação sensível do host para a máquina guest. Esta vulnerabilidade só afeta o ESXI.

Para aplicarem o patch, venham aqui à página oficial da VMware: https://www.vmware.com/security/advisories/VMSA-2018-0027.html