VMware, ESXi, Workstation ve Fusion'ı etkileyen, kod yürütmeye yol açabilecek iki kritik kusur da dahil olmak üzere dört güvenlik açığını gidermek için yamalar yayınladı.
Şu şekilde izlendi: CVE-2024-22252 ve CVE-2024-22253güvenlik açıkları, XHCI USB denetleyicisindeki ücretsiz kullanım sonrası hatalar olarak tanımlandı. İş İstasyonu ve Fusion için 9,3 ve ESXi sistemleri için 8,4 CVSS puanına sahiptirler.
Şirket yeni bir danışma belgesinde, “Sanal makinede yerel yönetim ayrıcalıklarına sahip kötü niyetli bir aktör, sanal makinenin ana makinede çalışan VMX işlemi sırasında kod yürütmek için bu sorunu kullanabilir” dedi.
“ESXi'de, istismar VMX sanal alanında bulunurken, Workstation ve Fusion'da bu, Workstation veya Fusion'ın kurulu olduğu makinede kod yürütülmesine yol açabilir.”
Ant Group Işık Yılı Güvenlik Laboratuvarı ve QiAnXin ile ilişkili çok sayıda güvenlik araştırmacısı, CVE-2024-22252'yi bağımsız olarak keşfetme ve raporlama konusunda itibar kazandı. Güvenlik araştırmacıları VictorV ve Wei, CVE-2024-22253'ü rapor ettikleri için onaylandı.
Ayrıca Broadcom'un sahip olduğu sanallaştırma hizmetleri sağlayıcısı tarafından yamalanan iki eksiklik daha var:
- CVE-2024-22254 (CVSS puanı: 7,9) – ESXi'de, VMX sürecinde ayrıcalıklara sahip kötü niyetli bir aktörün sanal alan kaçışını tetiklemek için kullanabileceği, sınırların dışında bir yazma güvenlik açığı.
- CVE-2024-22255 (CVSS puanı: 7,9) – UHCI USB denetleyicisinde, sanal makineye yönetim erişimi olan bir saldırganın vmx işleminden bellek sızdırmak için kullanabileceği bir bilginin açığa çıkması güvenlik açığı.
Bu sorunların ciddiyeti nedeniyle kullanım ömrünün sonuna (EoL) ulaşanlar da dahil olmak üzere, aşağıdaki sürümlerde sorunlar ele alınmıştır:
Bir yama dağıtılıncaya kadar geçici bir çözüm olarak müşterilerden tüm USB denetleyicilerini sanal makineden kaldırmaları istendi.
Şirket, “Ayrıca, VMware sanal USB çubuğu veya donanım kilidi gibi sanal/emülasyonlu USB aygıtları sanal makine tarafından kullanılamayacak” dedi. “Buna karşılık, giriş aygıtları olarak varsayılan klavye/fare, varsayılan olarak USB protokolü aracılığıyla bağlı olmadıklarından ancak konuk işletim sisteminde yazılım aygıtı emülasyonu yapan bir sürücüye sahip olduklarından etkilenmez.”