VMware исправила множество проблем безопасности, затрагивающих некоторые из ее ключевых бизнес-продуктов, и, поскольку некоторые из недостатков очень серьезны и могут позволить злоумышленникам удаленно выполнять код, компания советует пользователям немедленно применить исправления.
Согласно рекомендациям по безопасности VMware, компания исправила четыре уязвимости: CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 и CVE-2024-22255. Эти ошибки затрагивают продукты ESXi, Workstation и Fusion.
Первые две описаны как ошибки использования после освобождения в USB-контроллере XHCI, затрагивающие все три продукта. Для Workstation и Fusion уровень серьезности составляет 9,3, а для ESXi — 8,4. Доступные решения
«Злоумышленник с правами локального администратора на виртуальной машине может воспользоваться этой проблемой для выполнения кода, пока на хосте запущен процесс VMX виртуальной машины», — заявили в компании. «На ESXi эксплуатация происходит в песочнице VMX, тогда как на Workstation и Fusion она может привести к выполнению кода на машине, где установлена Workstation или Fusion».
Два других недостатка описываются как ошибка записи за пределами допустимого диапазона в ESXi (оценка серьезности 7,9) и уязвимость раскрытия информации в USB-контроллере UHCI (оценка серьезности 7,9). Эти два можно использовать для выхода из песочницы и утечки памяти из процессов vmx.
Чтобы обеспечить безопасность своих конечных точек, пользователям следует обновить продукты до следующих версий: ESXi 6,5 – 6,5U3В
ESXi 6.7 – 6.7U3h
ESXi 7.0 – ESXi70U3p-23307199
ESXi 8.0 – ESXi80U2sb-23305545 и ESXi80U1d-23299997
VMware Cloud Foundation (VCF) 3.x
Рабочая станция 17.x – 17.5.1
Fusion 13.x (macOS) – 13.5.1
Тем, кто не может сразу применить патч, в качестве обходного пути следует удалить все USB-контроллеры со своих виртуальных машин.
«Кроме того, виртуальные/эмулируемые USB-устройства, такие как виртуальные USB-накопители или ключи VMware, не будут доступны для использования виртуальной машиной», — заявили в компании. «Напротив, стандартные устройства ввода клавиатуры/мыши не затрагиваются, поскольку по умолчанию они не подключаются по протоколу USB, но имеют драйвер, который выполняет программную эмуляцию устройства в гостевой операционной системе. Через HackerNews
Другие работы из Нью-Йорка Брейкинга
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/