Birden fazla güvenlik açığı oluştu açıklandı VMware Workstation ve Fusion ürünlerinde, tehdit aktörleri tarafından hassas bilgilere erişmek, hizmet reddi (DoS) durumunu tetiklemek ve belirli koşullar altında kod yürütmek için kullanılabilecek.
Broadcom’a ait sanallaştırma hizmetleri sağlayıcısı, dört güvenlik açığının Workstation sürüm 17.x ve Fusion sürüm 13.x’i etkilediğini ve düzeltmelerin sırasıyla sürüm 17.5.2 ve 13.5.2’de mevcut olduğunu söyledi.
Kusurların her birinin kısa bir açıklaması aşağıdadır –
- CVE-2024-22267 (CVSS puanı: 9,3) – Bluetooth cihazında, sanal makinede yerel yönetim ayrıcalıklarına sahip kötü niyetli bir aktör tarafından, sanal makinenin ana makinede çalışan VMX işlemi olarak kod yürütmek için kullanılabilecek bir serbest kullanım sonrası güvenlik açığı
- CVE-2024-22268 (CVSS puanı: 7,1) – Shader işlevinde, DoS koşulu oluşturmak için 3D grafiklerin etkinleştirildiği bir sanal makineye yönetimsel olmayan erişime sahip kötü niyetli bir aktör tarafından kullanılabilecek bir yığın arabellek taşması güvenlik açığı
- CVE-2024-22269 (CVSS puanı: 7,1) – Bluetooth cihazında, sanal makinede yerel yönetici ayrıcalıklarına sahip kötü niyetli bir aktör tarafından hipervizör belleğinde yer alan ayrıcalıklı bilgileri sanal makineden okumak için kullanılabilecek bir bilginin açığa çıkması güvenlik açığı
- CVE-2024-22270 (CVSS puanı: 7,1) – Ana Bilgisayar Konuk Dosya Paylaşımı (HGFS) işlevinde, bir sanal makinede yerel yönetici ayrıcalıklarına sahip kötü niyetli bir aktör tarafından, hipervizör belleğinde bulunan ayrıcalıklı bilgileri bir sanal makineden okumak için kullanılabilecek bir bilginin açığa çıkması güvenlik açığı
Yamalar dağıtılana kadar geçici geçici çözümler olarak kullanıcılara şunları yapmaları tavsiye edilir: Bluetooth desteğini kapat sanal makinede ve 3D hızlandırma özelliğini devre dışı bırak. En son sürüme güncelleme dışında CVE-2024-22270’e yönelik herhangi bir azaltım yoktur.
CVE-2024-22267, CVE-2024-22269 ve CVE-2024-22270’in olduğunu belirtmekte fayda var. aslında gösterdi STAR Labs SG ve Theori tarafından bu Mart ayının başlarında Vancouver’da düzenlenen Pwn2Own hackleme yarışmasında.
Uyarı, şirketin ESXi, Workstation ve Fusion’ı etkileyen dört güvenlik açığını gidermek için yamalar yayınlamasından iki aydan fazla bir süre sonra geldi; bunlar arasında iki kritik kusur (CVE-2024-22252 ve CVE-2024-22253, CVSS puanları: 9,3/8,4) yer alıyor. kod yürütülmesine yol açabilir.