VMware выпускает исправления для различных уязвимостей безопасности, поэтому обновите их прямо сейчас. • Продвижение Web 2.0

VMware исправила множество уязвимостей безопасности, затрагивающих ряд ее ключевых бизнес-продуктов, и поскольку некоторые из уязвимостей имеют высокий уровень серьезности и позволяют злоумышленникам удаленно выполнять код, компания советует пользователям немедленно применить исправления.

Согласно рекомендациям по безопасности VMware, компания устранила четыре уязвимости: CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 и CVE-2024-22255. Эти дефекты затрагивают продукты ESXi, Workstation и Fusion.

Первые две описаны как ошибки использования после освобождения в USB-контроллере XHCI, которые затрагивают все три продукта. Для Workstation и Fusion серьезность — 9,3, для ESXi — 8,4.

Доступные обходные пути

«Злоумышленник с правами локального администратора на виртуальной машине может воспользоваться этой проблемой для выполнения кода, пока на хосте запущен процесс VMX виртуальной машины», — заявили в компании. «В ESXi эксплуатация содержится в песочнице VMX, а в Workstation и Fusion она может привести к выполнению кода на компьютере, где установлена Workstation или Fusion».

Еще две описанные уязвимости — это ошибка записи за пределами допустимого диапазона в ESXi (уровень серьезности 7.9) и уязвимость раскрытия информации в USB-контроллере UHCI (уровень серьезности 7.9). Эти два можно использовать для выхода из «песочницы» и утечки памяти из процессов VMX.

Чтобы обеспечить безопасность своих конечных точек, пользователям следует обновить продукты до следующих версий:

ESXi 6.5 — 6.5U3в
ESXi 6.7 — 6.7U3u
ESXi 7.0 – ESXi70U3p-23307199
ESXi 8.0 – ESXi80U2sb-23305545 и ESXi80U1d-23299997
VMware Cloud Foundation (VCF) 3.x
Рабочая станция 17.x – 17.5.1
Fusion 13.x (macOS) – 13.5.1

Если вы не можете применить исправление немедленно, вам следует удалить все USB-контроллеры с ваших виртуальных машин в качестве обходного пути.

«Кроме того, виртуальные/эмулируемые USB-устройства, такие как виртуальные USB-накопители или ключи VMware, недоступны для использования виртуальной машиной», — заявили в компании. «Напротив, стандартные устройства ввода клавиатуры/мыши не затрагиваются, поскольку они по умолчанию не подключены по протоколу USB, но имеют драйвер, который выполняет программную эмуляцию устройства в гостевой операционной системе.

ЧИТАТЬ Ганнетт для участия в Deutsche Bank 33. Годовой конференция по медиа, интернету и телекоммуникациям

Над TheHackerНовости

Больше от TechRadar Pro

Source