شرکت VMware آسیب‌پذیری‌های ارتقاء امتیاز و منع سرویس را وصله کرد

کمیته رکن چهارم – شرکت VMware هفته‌ی گذشته به مشتریان خود اطلاع داد که به‌روزرسانی‌هایی را برای نسخه‌ی ویندوز و لینوکس در برنامه‌ی محیط کاری منتشر کرده تا آسیب‌پذیری‌های ارتقاء امتیاز و منع سرویس را وصله کند.

به گزارش کمیته رکن چهارم،یکی از این آسیب‌پذیری‌ها توسط یکی از محققان امنیتی شرکت گوگل کشف شده و شناسه‌ی آن CVE-۲۰۱۷-۴۹۱۵ است. این آسیب‌پذیری در رده‌ی اشکالات مهم طبقه‌بندی شده است. این آسیب‌پذیری به‌عنوان یک اشکال در بارگذاری کتابخانه تعریف شده است که به یک مهاجم غیرمجاز اجازه می‌دهد با استفاده از پرونده‌های پیکربندی راه‌انداز صوتی ALSA امتیازات خود را به سطح ریشه ارتقاء دهد.

شناسه‌ی آسیب‌پذیری دوم CVE-۲۰۱۷-۴۹۱۶ بوده و یک اشکال در ارجاع به اشاره‌گر تهی است که در راه‌انداز vstor۲ هم وجود دارد. یک مهاجم با دسترسی‌های معمولی می‌تواند از این آسیب‌پذیری بهره‌برداری کرده و شرایط منع سرویس را بر روی سامانه‌ی هدف بوجود آورد.

این آسیب‌پذیری‌ها در نسخه‌ی ۱۲.۵.۶ وصله شده است. شرکت Vmware امسال ۸ مشاوره‌نامه‌ی امنیتی دیگر را منتشر کرده که در آن‌ها آسیب‌پذیری‌هایی مانند آپاچی Struts ۲ که در دنیای واقعی مورد بهره‌برداری قرار می‌گرفت، وصله شده بود. دیگر آسیب‌پذیری‌هایی که در این مشاوره‌نامه‌ها برطرف شده بودند در مسابقه‌ی نفوذ Pwn۲Own به این شرکت گزارش شده بود. این شرکت در مسابقات Pwn۲Own امسال برای گزارش آسیب‌پذیری‌ها نزدیک به ۲۰۰ هزار دلار جایزه پرداخت کرده است.

منبع:security week

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.