 VMware публикуваха в края на миналата седмица набор от обновления, адресиращи уязвимости в няколко от продуктите на виртуализационния гигант. Една от тях е от най-лошия тип и успешното ? експлоатиране позволява изпълнение на код от гост-машината към хоста. CVE-2017-4924 е out-of-bounds write проблем в SVGA устройството. Двама специалисти от Comsecuris UG са докладвали за проблема по порограмата Zero Day Initiative (ZDI) на 22.07. Експлоатирането ? може да бъде осъществено при изпълнението на код на ниско ниво в госта. Макар и от VMware да ? дадоха най-висока степен на критичност, ZDI ? заделят ниво на важност (CVSS) от 6.2 или средно ниво на важност. Уязвимостта засяга VMware ESXi, vCenter Server, Fusion и Workstation. Следващата по важност уязвимост е CVE-2017-4925 и засяга ESXi, Workstation и Fusion, а успешното ? експлоатиране може да доведе до срив на виртуалната машина. Третата уязвимост засяга vCenter Server H5 Client и е под номер CVE-2017-4926. |
