VMware-ը՝ ESXi-ի, Workstation-ի և Fusion-ի համար շտկումներ է կատարում

VMware-ը՝ ESXi-ի, Workstation-ի և Fusion-ի անվտանգության վրա ազդող խոցելիությունները շտկելու համար պաչեր և թարմացումներ է կատարել, որպեսզի կարողանա պաշտպանել ներքին համակարգերը և դրանք հեռու պահի կոդի աղավաղումներից։

CVE-2024-22252 և CVE-2024-22253 խոցելիությունները նկարագրվել են որպես XHCI USB controller–ի bug–եր: CVSS կատալոգում Workstation-ի և Fusion-ի համար դրանք գնահատվում են՝ 9.3 միավորով, իսկ ESXi համակարգերի համար՝ 8.4 միավորով։

«ESXi-ում շահագործումը տեղի է ունենում VMX sandbox-ում, մինչդեռ Workstation-ում և Fusion-ում դա կարող է հանգեցնել կոդի կատարման հենց այն մեքենայի վրա, որտեղ տեղադրված են Workstation-ն ու Fusion-ը»:

Ant Group Light-Year Security Lab-ին և QiAnXin-ին վերագրվել են CVE-2024-22252-ի հայտնաբերման և զեկուցման փաստը: Անվտանգության գծով փորձագետներ՝ VictorV և Wei–ին վերագրվել է CVE-2024-22253–ի զեկուցման փաստը:

Broadcom-ին պատկանող վիրտուալացման ծառայությունների համար ևս կատարվել են որոշակի շտկումներ՝

CVE-2024-22254 (CVSS կատալոգում միավորը՝  7.9) – ESXi-ում առկա аn out-of-bounds տիպի խոցելիություն։

CVE-2024-22255 (CVSS կատալոգում միավորը՝  7.1) – UHCI USB controller–ում տվյալների բացահայտման խոցելիություն։

Առ այս պահը խնդիրները լուծվել են հետևյալ տարբերակներում՝

• ESXi 6.5 – 6.5U3v
• ESXi 6.7 – 6.7U3u
• ESXi 7.0 – ESXi70U3p-23307199
• ESXi 8.0 – ESXi80U2sb-23305545 and ESXi80U1d-23299997
• VMware Cloud Foundation (VCF) 3.x
• Workstation 17.x – 17.5.1
• Fusion 13.x (macOS) – 13.5.1

Որպես ժամանակավոր լուծում, հաճախորդներին հորդորվում է և խորհուրդ տրվում բոլոր USB controller–ները հեռացնել վիրտուալ մեքենայից:

Աղբյուրը՝  https://thehackernews.com/