VMware phát hành bản vá cho các lỗ hổng an toàn thông tin nghiêm trọng

0
0

 - Nhiều lỗ hổng an toàn thông tin đã được công bố chi tiết trên Vmware Workstation và Fusion, cho phép đối tượng tấn công khi khai thác thành công có thể truy cập và thực hiện các hành vi trái phép, thực hiện tấn công từ chối dịch vụ và thực thi mã từ xa.

Bốn lỗ hổng an toàn thông tin này gây ảnh hưởng tới Workstation phiên bản 17.x và Fusion phiên bản 13.x sẽ được vá trong phiên bản 17.5.2 và 13.5.2.

 

Thông tin về bốn lỗ hổng cụ thể như sau:

• CVE-2024-22267 (Điểm CVSS: 9.3) - Là lỗ hổng use-after-free tồn tại trên thiết bị Bluetooth có thể bị khai thác bởi các đối tượng tấn công có quyền truy cập cục bộ trên máy ảo để thực thi mã tùy ý dưới tiến trình VMX của máy ảo.

• CVE-2024-22268 (Điểm CVSS: 7.1) - Lỗ hổng tràn bộ đệm Heap tồn tại trên chức năng Shader có thể bị khai thác bởi các đối tượng tấn công có quyền truy cập tới máy ảo với chức năng đồ họa 3D được bật để thực hiện tấn công từ chối dịch vụ.

• CVE-2024-22269 (Điểm CVSS: 7.1) - Lỗ hổng gây lộ lọt thông tin trên thiết bị Bluetooth có thể bị khai thác bởi các đối tượng tấn công có quyền truy cập cục bộ trên máy ảo để đọc thông tin lưu trên bộ nhớ hypervisor của máy ảo.

• CVE-2024-22270 (Điểm CVSS: 7.1) - Lỗ hổng gây lộ lọt thông tin tồn tại trên chức năng Host Guest File Sharing (HGFS) có thể bị khai thác bởi các đối tượng tấn công có quyền truy cập cục bộ trên máy ảo để đọc thông tin lưu trên bộ nhớ hypervisor của máy ảo.

Trong trường hợp không thể cập nhật bản vá, người dùng được khuyến nghị tắt chức năng Bluetooth và 3D acceleration trên máy ảo. Đối với lỗ hổng CVE-2024-22270, hiện chưa có biện pháp khắc phục nào khác ngoài việc cập nhật lên phiên bản vá mới nhất.

Đáng chú ý, các lỗ hổng CVE-2024-22267, CVE-2024-22269, và CVE-2024-22270 đã được chứng minh bởi hai cơ quan bảo mật STAR Labs SG và Theori trong cuộc thi Pwn2Own diễn ra tại Vancouver vào tháng 03/2024.

Thông tin về bốn lỗ hổng này được công bố trong bối cảnh hai tháng sau khi VMware phát hành bản vá cho bốn lỗ hổng an toàn thông tin khác ảnh hưởng đến ESXi, Workstation, và Fusion. Đặc biệt, CVE-2024-22252 (Điểm CVSS: 9.3) và CVE-2024-22253 (Điểm CVSS: 8.4) là hai lỗ hổng cho phép đối tượng tấn công thực thi mã từ xa.

PV


Ý kiến bạn đọc


Người phụ nữ Hà Nội bị lừa 24 tỷ đồng khi đầu tư “sàn vàng online”

(VnMedia) - Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an TP Hà Nội mới đây đã tiếp nhận đơn của chị T về việc bị chiếm đoạt 24 tỷ đồng khi tham gia đầu tư vàng online.

Các quy tắc AI mới của EU châm ngòi cho cuộc chiến về tính minh bạch dữ liệu

(VnMedia) - Một bộ luật mới quản lý việc sử dụng trí tuệ nhân tạo ở Liên minh châu Âu sẽ buộc các công ty phải minh bạch hơn về dữ liệu được sử dụng để đào tạo các hệ thống của họ, buộc họ phải công khai một trong những bí mật được bảo vệ chặt chẽ nhất của ngành.

Xem trọn vẹn vòng Chung kết Euro 2024 trên dịch vụ MyTV đa nền tảng của VNPT

(VnMedia) - Kỳ UEFA EURO 2024 sắp khởi tranh tại Đức với những đội tuyển bóng đá mạnh nhất lục địa già. Người hâm mộ tại Việt Nam có thể xem trọn vẹn sự kiện bóng đá sôi động nhất mùa hè này trên hệ thống dịch vụ MyTV của tập đoàn VNPT.

Giá vàng thế giới giảm sâu, trong nước đứng im

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (14/6), giá vàng giao ngay tại thị trường New York đã bất ngờ giảm sâu gần 19 USD/ounce. Trong nước, giá vàng nhẫn tròn trơn của Bảo Tín Minh Châu và vàng miếng SJC vẫn giữ nguyên mức giá được niêm yết trước đó.

Lỗ hổng zero-day ảnh hưởng đến các thiết bị Pixel đã bị khai thác trong thực tế

(VnMedia) - Google đã phát hành bản vá cho 50 lỗ hổng bảo mật ảnh hưởng đến các thiết bị Pixel của mình và cảnh báo rằng một trong số đó đã bị khai thác trong các cuộc tấn công có chủ đích dưới dạng zero-day.