کمیته رکن چهارم – آسیبپذیری جدیدی با شناسه CVE-2024-38811 و شدت بالا در ماشین مجازی VMware Fusion شناسایی شده است که به مهاجمان امکان اجرای کد مخرب در macOS را میدهد.
به گزارش کمیته رکن چهارم، این آسیبپذیری که دارای امتیاز CVSS 8.8 است، به دلیل استفاده از متغیرهای محیطی ناامن در نسخههای ۱۳٫۰ تا قبل از ۱۳٫۶ از VMware Fusion رخ داده و به کاربران با امتیازات استاندارد اجازه میدهد تا کدهای مخرب را در پسزمینه این برنامه اجرا کنند. در این آسیبپذیری، عدم مدیریت صحیح متغیرهای محیطی و اعتبارسنجی ناکافی آنها، به مهاجمان با دسترسی محدود این امکان را میدهد که با تنظیم یا تغییر این متغیرها، مقادیر مخربی را به برنامه تزریق کنند که به عنوان ورودی معتبر پردازش میشوند.
این نقص میتواند منجر به اجرای کد دلخواه مهاجم شود، بهویژه در مواردی که متغیرهای محیطی به فایلها یا کتابخانههایی که برنامه بارگذاری میکند، اشاره دارند. این ضعف امنیتی در نسخههای مختلف VMware Fusion که بر روی macOS اجرا میشوند، شناسایی شده است و کاربران میتوانند با بهروزرسانی به نسخه ۱۳٫۶ یا بالاتر از این آسیبپذیری در امان بمانند.
ماشین مجازی VMware Fusion برای کاربران macOS طراحی شده است و امکان اجرای سیستمعاملهای مختلف نظیر ویندوز، لینوکس و سایر نسخههای macOS را به صورت مجازی بر روی دستگاههای اپل فراهم میکند.
