VMware исправляет ряд уязвимостей Workstation и Fusion, обнаруженных на недавнем Pwn2Own

Быстрая покупка VPN для России через удобный Телеграмм-бот:

Обновите свои машины как можно скорее, чтобы ни один хакер не заполучил повышенных привилегий.

В продуктах VMware Workstation и Fusion выявлены четыре серьёзные уязвимости, которые могут быть использованы злоумышленниками для получения доступа к конфиденциальной информации, создания условий для проведения DoS-атак и выполнения произвольного кода.

Проблемы затрагивают версии Workstation 17.x и Fusion 13.x. Для устранения уязвимостей рекомендуется обновить программы до версий 17.5.2 и 13.5.2 соответственно. Компания Broadcom, владеющая услугами виртуализации VMware, опубликовала это предупреждение на своём официальном сайте.

Получи VPN-прокси для России через наш удобный Телеграмм-бот:

Описание уязвимостей:

1. CVE-2024-22267 (оценка CVSS 9.3). Уязвимость типа use-after-free в Bluetooth-устройстве. Может быть использована злоумышленником с локальными административными правами на виртуальной машине для выполнения кода от имени процесса VMX, работающего на хосте.
2. CVE-2024-22268 (оценка CVSS 7.1). Уязвимость переполнения буфера кучи в функциональности Shader. Может быть использована злоумышленником с неадминистративным доступом к виртуальной машине с включённой 3D-графикой для создания условий отказа в обслуживании (DoS).
3. CVE-2024-22269 (оценка CVSS 7.1). Уязвимость раскрытия информации в Bluetooth-устройстве. Может быть использована злоумышленником с локальными административными правами на виртуальной машине для чтения конфиденциальной информации, содержащейся в памяти гипервизора.
4. CVE-2024-22270 (оценка CVSS 7.1). Уязвимость раскрытия информации в функциональности Host Guest File Sharing (HGFS). Может быть использована злоумышленником с локальными административными правами на виртуальной машине для чтения привилегированной информации из памяти гипервизора.

Пользователям рекомендуется отключить поддержку Bluetooth на уязвимых виртуальных машинах, а также деактивировать функцию 3D-ускорения до установки обновлений. Для CVE-2024-22270 временных мер нет, поэтому для смягчения последствий этой уязвимости необходимо обновиться до последних версий программного обеспечения.

Следует отметить, что уязвимости CVE-2024-22267, CVE-2024-22269 и CVE-2024-22270 были впервые продемонстрированы командами STAR Labs SG и Theori на конкурсе Pwn2Own, недавно прошедшем в Ванкувере.

Ваши гаджеты следят за вами. Мы знаем, как это остановить!

Присоединяйтесь

Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.

Почему стоит купить безопасный VPN?

• Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.

• Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.

• Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.

• Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.