کمیته رکن چهارم – شرکت VMware هفتهی گذشته به مشتریان خود اطلاع داد که بهروزرسانیهایی را برای نسخهی ویندوز و لینوکس در برنامهی محیط کاری منتشر کرده تا آسیبپذیریهای ارتقاء امتیاز و منع سرویس را وصله کند.
به گزارش کمیته رکن چهارم،یکی از این آسیبپذیریها توسط یکی از محققان امنیتی شرکت گوگل کشف شده و شناسهی آن CVE-۲۰۱۷-۴۹۱۵ است. این آسیبپذیری در ردهی اشکالات مهم طبقهبندی شده است. این آسیبپذیری بهعنوان یک اشکال در بارگذاری کتابخانه تعریف شده است که به یک مهاجم غیرمجاز اجازه میدهد با استفاده از پروندههای پیکربندی راهانداز صوتی ALSA امتیازات خود را به سطح ریشه ارتقاء دهد.
شناسهی آسیبپذیری دوم CVE-۲۰۱۷-۴۹۱۶ بوده و یک اشکال در ارجاع به اشارهگر تهی است که در راهانداز vstor۲ هم وجود دارد. یک مهاجم با دسترسیهای معمولی میتواند از این آسیبپذیری بهرهبرداری کرده و شرایط منع سرویس را بر روی سامانهی هدف بوجود آورد.
این آسیبپذیریها در نسخهی ۱۲.۵.۶ وصله شده است. شرکت Vmware امسال ۸ مشاورهنامهی امنیتی دیگر را منتشر کرده که در آنها آسیبپذیریهایی مانند آپاچی Struts ۲ که در دنیای واقعی مورد بهرهبرداری قرار میگرفت، وصله شده بود. دیگر آسیبپذیریهایی که در این مشاورهنامهها برطرف شده بودند در مسابقهی نفوذ Pwn۲Own به این شرکت گزارش شده بود. این شرکت در مسابقات Pwn۲Own امسال برای گزارش آسیبپذیریها نزدیک به ۲۰۰ هزار دلار جایزه پرداخت کرده است.
منبع:security week
