Skip to main content

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

3 Μαΐου 2023 06:53

Ενημερώσεις λογισμικών της VMware  

Της Αφροδίτης Μπαλίδου 

Η VMware προχώρησε σε ενημερώσεις για την επίλυση ελαττωμάτων ασφαλείας που επηρεάζουν το Workstation και το λογισμικό Fusion. Οι εν λόγω ενημερώσεις στοχεύουν στην αντιμετώπιση κρίσιμων ευπαθειών, όπως η CVE-2023-20869 (βαθμολογία CVSS: 9.3). 

«Ένας κακόβουλος παράγοντας με τοπικά δικαιώματα διαχείρισης σε μια εικονική μηχανή μπορεί να εκμεταλλευτεί αυτό το ζήτημα για να εκτελέσει κώδικα, καθώς η διαδικασία VMX της εικονικής μηχανής εκτελείται στον κεντρικό υπολογιστή», δήλωσε η εταιρεία. 

Επιδιορθώθηκε, ακόμη, από τη VMware μια ευπάθεια ανάγνωσης εκτός ορίων που επηρεάζει το ίδιο χαρακτηριστικό (CVE-2023-20870, βαθμολογία CVSS: 7.1), την οποία «ένας κακόβουλος χρήστης με δικαιώματα διαχειριστή θα μπορούσε να καταχραστεί για την ανάγνωση ευαίσθητων πληροφοριών που περιέχονται στη μνήμη hypervisor από μια εικονική μηχανή» σύμφωνα με την εταιρεία. 

Και οι δύο ευπάθειες επιδείχθηκαν από ερευνητές από τα εργαστήρια STAR την τρίτη ημέρα του διαγωνισμού hacking Pwn2Own που πραγματοποιήθηκε στο Βανκούβερ τον περασμένο μήνα, αποφέροντάς τους ανταμοιβή 80.000 δολαρίων. 

Η VMware έχει, επίσης, επιλύσει δύο επιπλέον ελλείψεις, οι οποίες περιλαμβάνουν ένα ελάττωμα κλιμάκωσης τοπικών προνομίων (CVE-2023-20871, βαθμολογία CVSS: 7.3) στο Fusion και μια ευπάθεια εκτός ορίων ανάγνωσης/εγγραφής στην εξομοίωση συσκευής SCSI CD/DVD (CVE- 2023-20872, βαθμολογία CVSS: 7,7). Το πρώτο θα μπορούσε να επιτρέψει σε έναν κακόβουλο παράγοντα με πρόσβαση ανάγνωσης/εγγραφής στο λειτουργικό σύστημα κεντρικού υπολογιστή να αποκτήσει πρόσβαση root, ενώ το δεύτερο θα μπορούσε να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα. 

Τα ελαττώματα έχουν αντιμετωπιστεί στην έκδοση Workstation 17.0.2 και Fusion έκδοση 13.0.2. Ως προσωρινή λύση για τα CVE-2023-20869 και CVE-2023-20870, η VMware προτείνει στους χρήστες να απενεργοποιήσουν την υποστήριξη bluetooth στην εικονική μηχανή. 

Όσον αφορά στον μετριασμό του CVE-2023-20872, συνιστάται από την εταιρεία να αφαιρέσετε τη συσκευή CD/DVD από την εικονική μηχανή ή να ρυθμίσετε τις παραμέτρους της εικονικής μηχανής, ώστε να μην χρησιμοποιεί εικονικό ελεγκτή SCSI. 

Τεύχος 276

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ