Անվտանգության կրիտկական խոցելիությունից խուսափելու համար VMware-ը օգտատերերին կոչ է անում հեռացնել հնացած Enhanced Authentication Plugin (EAP) տարբերակը:
Խոցելիությունը որակվել է որպես՝ CVE-2024-22245 (CVSS կատալոգում միավորը՝ 9.6) և նկարագրվել է որպես arbitrary authentication relay bug.
«Վեբ բրաուզերում տեղադրված EAP-ով հաքերը կարող է հեշտությամբ խաբել թիրախային տիրույթի օգտատիրոջը», – ասվում է ընկերության կողմից տրամադրած նոր զեկույցում:
Միևնույն գործիքում հայտնաբերվել է նաև մեկ այլ կրիտիկական session hijack խոցելիություն (CVE-2024-22250, CVSS կատալոգում միավորը՝ 7.8), որը հաքերներին local access-ի հնարավորություն կարող է թույլ տալ դեպի Windows օպերացիոն համակարգ:
Broadcom-ին պատկանող ընկերության փոխանցմամբ, խոցելիությունների հետ կապված հարցը չի լուծվել, փոխարենը օգտատերերին խորհուրդ է տրվում հեռացնել plugin-ը, որպեսզի գոնե մեղմվեն սպասվելիք ռիսկերը:
«Enhanced Authentication Plugin-ը uninstalling software-ով կարող է հեռացվել հաճախորդի համակարգից», – ավելացրել է ընկերությունը:
Համապատասխան մշակման ժամանակ Apex ծրագրավորման լեզվում ևս մի քանի կրիտիակական խոցելիություններ ու սխալ կոնֆիգուրացիաներ են հայտնաբերվել, որոնք մշակվել էին Salesforce-ի կողմից:
Տեխնիկական խնդրի հիմքում ընկած է Apex կոդը, որն անտեսում է օգտատիրոջ թույլտվությունները՝ դրանով իսկ հաքերներին թույլ տալով ընթերցել և դուրս բերել կոնֆիդենցիալ տվյալները:
Աղբյուրը՝ https://thehackernews.com/
