Broadcom var piyasaya sürülmüş VMware ESXI, iş istasyonu ve füzyon ürünlerinde kod yürütme ve bilgi açıklamasına yol açabilecek üç aktif olarak sömürülen güvenlik kusurlarını ele almak için güvenlik güncellemeleri.
Güvenlik açıklarının listesi aşağıdaki gibidir –
- CVE-2025-22224 (CVSS Puanı: 9.3)-Sanal bir makinede yerel idari ayrıcalıklara sahip kötü niyetli bir aktörün, sanal makinenin ana makinenin ana makine VMX işlemi olarak kodu yürütmesi için kullanabileceği, sınır dışı bir yazmaya yol açan bir kullanım süresi (Toctou) güvenlik açığı.
- CVE-2025-22225 (CVSS Puanı: 8.2) – VMX sürecinde ayrıcalıklara sahip kötü niyetli bir aktörün, bir kum havuzu kaçışına neden olmak için yararlanabileceği keyfi bir yazma güvenlik açığı
- CVE-2025-22226 (CVSS Puanı: 7.1)-HGFS’de okunan sınırsız bir aktörün, bir sanal makineye yönelik idari ayrıcalıklara sahip kötü niyetli bir aktörün VMX işleminden bellek sızdırmak için sömürülebileceği bir bilgi açıklaması güvenlik açığı
Eksiklikler aşağıdaki sürümleri etkiler –
- VMware ESXI 8.0-ESXI80U3D-24585383, ESXI80U2D-24585300
- VMware ESXI 7.0 – ESXI70U3S -24585291
- VMware Workstation 17.x – 17.6.3’te düzeltildi
- VMware Fusion 13.x – 13.6.3’te düzeltildi
- VMware Cloud Foundation 5.x – ESXI80U3D -24585383
- VMware Cloud Foundation 4.x – ESXI70U3S -24585291
- VMware Telco Bulut Platformu 5.x, 4.x, 3.x, 2.x – ESXI 7.0U3S, ESXI 8.0U2D ve ESXI 8.0U3D’de sabitlenmiş
- VMware Telco Bulut Altyapısı 3.x, 2.x – ESXI 7.0U3S’de Sabit
Ayrı bir SSS’de Broadcom kabul edilmiş “Bu konuların sömürülmesinin” vahşi doğada gerçekleştiğini “öne sürdüğü, ancak saldırıların doğası veya onları silahlandıran tehdit aktörlerinin kimliği üzerinde ayrıntılı bir şey olmadığını.
Sanallaştırma hizmetleri sağlayıcısı, Microsoft Tehdit İstihbarat Merkezi’ne hataları keşfetmek ve raporlamak için kredilendirdi. Aktif sömürü ışığında, kullanıcıların en son yamaları optimum koruma için uygulamaları önemlidir.
