آسیب‌پذیری در VMware باعث افشای اطلاعات حساس می‌شود

کمیته رکن چهارم – یک‌سری آسیب‌پذیری در تعدادی از محصولات VMware شناسایی شده‌است که مهاجم می‌تواند از طریق آنها به اطلاعات حساس کاربران برسد.

چندین آسیب‌پذیری امنیتی در محصولات VMware Workstation و Fusion کشف شده است که با بهره‌برداری از آنها مهاجم پس از انجام حمله انکار سرویس (DoS) و اجرای کد مخرب می‌تواند به اطلاعات حساس کاربر دسترسی پیدا کند.

شناسه CVE-2024-22267 با شدت بحرانی (۹٫۳) ، آسیب‌پذیری use-after-free در دستگاه بلوتوث است که مهاجم درصورت بهره‌برداری از آن می‌تواند، با سطح دسترسی Admin محلی، کد دلخواه خود را به عنوان فرایند VMX ماشین مجازی اجرا کند که روی ماشین میزبان اجرا می‌شود. در واقع مهاجم می‌تواند به طور بالقوه ماشین میزبان را از طریق ماشین مجازی در معرض خطر، کنترل کند.

شناسه CVE-2024-22268 با شدت بالا (۷٫۱) هم آسیب‎‌پذیری است که در عملکرد Shader وجود دارد و می‌تواند منجر بهheap buffer-overflow شود. مهاجم با دسترسی اولیه به ماشین مجازی (VM) که دارای گرافیک سه بعدی فعال است می‌تواند از این نقص امنیتی بهره‌برداری کند و منجر به از کار افتادن سیستم و در نتیجه انجام حمله انکار سرویس (DoS) شود.

از طریق شناسه CVE-2024-22269 با شدت بالا (۷٫۱) که یک آسیب‌پذیری افشای اطلاعات در دستگاه بلوتوث می‌باشد که مهاجم با سطح دسترسی Admin محلی، در صورت بهره‌برداری از این نقص می‌تواند از این آسیب‌پذیری برای دسترسی به اطلاعات حساس ذخیره شده در حافظه Hypervisor استفاده کند. Hypervisor نرم‌افزاری است که ماشین‌های مجازی را ایجاد و مدیریت می‌کند. شناسه CVE-2024-22270 با شدت بالا (۷٫۱) هم یک آسیب‌پذیری افشای اطلاعات در قابلیت اشتراک‌گذاری فایل (HGFS) است که می‌تواند توسط مهاجم با سطح دسترسی بالا در ماشین مجازی جهت خواندن اطلاعات مهم حافظه Hypervisor مورد بهره‌برداری قرار گیرد.

این آسیب‌پذیری‌ها VMware Workstation می‌توانند نسخه ۱۷٫x و VMware Fusion نسخه ۱۳٫x را تحت تأثیر قرار دهند و به کاربران توصیه می‌شود در اسرع وقت، VMware Workstation را به نسخه ۱۷٫۵٫۲ و VMware Fusion را به نسخه ۱۳٫۵٫۲ به‌روزرسانی کنند. اگر به‌روزرسانی برای کاربران مقدور نیست باید به عنوان راه‌حل موقت، پشتیبانی بلوتوث را در ماشین مجازی خاموش کرده و ویژگی ۳D acceleration را غیرفعال کنند.

منبع : افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.