VMware, Fusion ve Workstation yazılımındaki iki kritik güvenlik açığı için bir yama yayınladı.
Şirketin danışma belgesi, güvenlik açıklarının ESXi sistemlerini de daha az etkilediğini ve orada yüksek önem derecesine sahip olduğunu söyledi.
İlk güvenlik açığı olan CVE-2024-22252, genişletilebilir ana bilgisayar denetleyicisi (XHCI) USB denetleyicisindeki boş alandan sonra kullanılan bellek hatasıdır.
Bir VM'de yerel yönetici ayrıcalıklarına sahip kötü niyetli bir saldırgan, ana makinede VMX işlemi olarak kod yürütebilir. Workstation ve Fusion ürünlerinde kod yürütülmesine yol açabilir, ancak ESXi'de VMX sanal alanında bulunur.
CVE-2024-22253 aynı zamanda, bu sefer evrensel ana bilgisayar denetleyici arayüzü (UHCI) USB denetleyicisinde, CVE-2024-22252 ile aynı saldırı yollarını sağlayan, ücretsiz bir kullanımdır.
Bu iki hata, 2023 Tianfu Kupası siber güvenlik yarışmasına katılan saldırı ekipleri tarafından keşfedildi.
Üçüncü bir güvenlik açığı olan CVE-2024-22254, yalnızca ESXi'yi etkileyen ve orta düzeyde önem derecesine sahip, sınır dışı bir yazmadır.
Son olarak, CVE-2024-22255 (aynı zamanda orta şiddette), ESXi, Fusion ve Workstation'daki UHCI USB denetleyicisinde bulunan bir bilginin açığa çıkması güvenlik açığıdır.
Uyarı belgesinde, “VMX sürecinde ayrıcalıklara sahip kötü niyetli bir aktör, korumalı alandan kaçışa yol açacak şekilde sınır dışı bir yazmayı tetikleyebilir” ifadesine yer verildi.
VMware, bir SSS bölümünde yama uygulamanın sorunları çözmenin en hızlı yolu olduğunu ancak kullanıcıların USB denetleyicilerini sanal makinelerden kaldırarak sorunları azaltabileceğini açıkladı.
VMware ayrıca hatanın destek dışı vSphere 6.x yazılımını da etkilediğini söyledi.