Tin An Ninh Mạng

VMware vá lỗi bảo mật nghiêm trọng trong các sản phẩm Workstation và Fusion

Nhiều lỗ hổng bảo mật đã được phát hiện trong các sản phẩm VMware Workstation và Fusion có thể bị khai thác để truy cập thông tin nhạy cảm, tấn công từ chối dịch vụ (DoS),…

{
“lightbox_close”: “Close”,
“lightbox_next”: “Next”,
“lightbox_previous”: “Previous”,
“lightbox_error”: “The requested content cannot be loaded. Please try again later.”,
“lightbox_start_slideshow”: “Start slideshow”,
“lightbox_stop_slideshow”: “Stop slideshow”,
“lightbox_full_screen”: “Full screen”,
“lightbox_thumbnails”: “Thumbnails”,
“lightbox_download”: “Download”,
“lightbox_share”: “Share”,
“lightbox_zoom”: “Zoom”,
“lightbox_new_window”: “New window”,
“lightbox_toggle_sidebar”: “Toggle sidebar”
}

vmware-e1600269271943.png

Bốn lỗ hổng ảnh hưởng đến các phiên bản Workstation 17.x và Fusion phiên bản 13.x, với các bản sửa lỗi có sẵn trong phiên bản 17.5.2 và 13.5.2, Dưới đây là một mô tả ngắn gọn về các lỗ hổng:

  • CVE-2024-22267 (điểm CVSS: 9.3) – Lỗ hổng use-after-free trong thiết bị Bluetooth có thể bị khai thác chiếm quyền quản trị.
  • CVE-2024-22268 (điểm CVSS: 7.1) – Lỗ hổng heap buffer-overflow trong chức năng Shader cho phép truy cập phi quản trị vào máy ảo để tạo điều kiện DoS
  • CVE-2024-22269 (điểm CVSS: 7.1) – Lỗ hổng làm lộ thông tin trong thiết bị Bluetooth có thể bị chiếm quyền quản trị và trích xuất thông tin từ bộ nhớ hypervisor.
  • CVE-2024-22270 (điểm CVSS: 7.1) – Lỗ hổng làm lộ thông tin trong chức năng Chia sẻ tệp khách lưu trữ (HGFS).

Cách giải quyết tạm thời cho đến khi các bản vá có thể được triển khai, người dùng nên tắt hỗ trợ Bluetooth trên máy ảo và tắt tính năng tăng tốc 3D. Đối với CVE-2024-22270 ngoài việc cập nhật lên phiên bản mới nhất thì không có biện pháp giảm nhẹ nào.

Lời khuyên được đưa ra hơn hai tháng sau khi công ty phát hành các bản vá để giải quyết bốn lỗi bảo mật ảnh hưởng đến ESXi, Workstation và Fusion, bao gồm hai lỗ hổng nghiêm trọng (CVE-2024-22252 và , điểm CVSS: 9.3 / 8.4) có thể dẫn đến RCE.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !