В продуктах VMware Workstation и Fusion было обнаружено множество недостатков в системе безопасности, которые могут быть использованы злоумышленниками для доступа к конфиденциальной информации, запуска режима отказа в обслуживании (DoS) и выполнения кода при определенных обстоятельствах.
Четыре уязвимости затрагивают версии Workstation 17.x и Fusion 13.x, причем исправления доступны в версиях 17.5.2 и 13.5.2 соответственно, сообщил поставщик услуг виртуализации, принадлежащий Broadcom.
Краткое описание каждого из недостатков приведено ниже -
Стоит отметить, что CVE-2024-22267, CVE-2024-22269 и CVE-2024-22270 были первоначально продемонстрированы STAR Labs SG и Theori на конкурсе хакеров Pwn2Own, проведенном в Ванкувере ранее в марте этого года.
Рекомендация была получена более чем через два месяца после того, как компания выпустила исправления для устранения четырех недостатков безопасности, влияющих на ESXi, Workstation и Fusion, включая два критических недостатка (CVE-2024-22252 и CVE-2024-22253, оценки CVSS: 9.3 / 8.4), которые могли привести к выполнению кода.
Четыре уязвимости затрагивают версии Workstation 17.x и Fusion 13.x, причем исправления доступны в версиях 17.5.2 и 13.5.2 соответственно, сообщил поставщик услуг виртуализации, принадлежащий Broadcom.
Краткое описание каждого из недостатков приведено ниже -
- CVE-2024-22267 (оценка CVSS: 9.3) - Уязвимость в устройстве Bluetooth, которая может быть использована злоумышленником с правами локального администратора на виртуальной машине для выполнения кода от имени процесса VMX виртуальной машины, запущенного на хосте.
- CVE-2024-22268 (оценка CVSS: 7.1) - Уязвимость переполнения буфера кучи в функциональности шейдеров, которая может быть использована злоумышленником, имеющим неадминистративный доступ к виртуальной машине с включенной 3D-графикой, для создания состояния DoS.
- CVE-2024-22269 (оценка CVSS: 7.1) - уязвимость в устройстве Bluetooth, связанная с раскрытием информации, которая может быть использована злоумышленником с правами локального администратора на виртуальной машине для считывания привилегированной информации, содержащейся в памяти гипервизора, с виртуальной машины
- CVE-2024-22270 (оценка CVSS: 7.1) - уязвимость в раскрытии информации в функции общего доступа к гостевым файлам хоста (HGFS), которая может быть использована злоумышленником с правами локального администратора на виртуальной машине для считывания привилегированной информации, содержащейся в памяти гипервизора, с виртуальной машины
Стоит отметить, что CVE-2024-22267, CVE-2024-22269 и CVE-2024-22270 были первоначально продемонстрированы STAR Labs SG и Theori на конкурсе хакеров Pwn2Own, проведенном в Ванкувере ранее в марте этого года.
Рекомендация была получена более чем через два месяца после того, как компания выпустила исправления для устранения четырех недостатков безопасности, влияющих на ESXi, Workstation и Fusion, включая два критических недостатка (CVE-2024-22252 и CVE-2024-22253, оценки CVSS: 9.3 / 8.4), которые могли привести к выполнению кода.
