Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Mar 08, 2024 Marina Londei In evidenza, News, Vulnerabilità 0
VMware ha pubblicato un avviso di sicurezza dove avverte i suoi utenti di quattro nuove vulnerabilità che colpiscono ESXi. Workstation Pro/Player (Workstation), Fusion Pro/Fusion (Fusion) e Cloud Foundation, due delle quali con punteggio di criticità di 9.3 su 10.
I due bug a rischio critico sono entrambi delle vulnerabilità use-after-free. Tracciate come CVE-2024-22252 e CVE-2024-22253, entrambe sono presenti in ESXi, WorkStation e Fusion e colpiscono una il controller XHCI USB e l’altra il controller UHCI USB.
I bug consentono a un attaccante con privilegi locali di amministratore su una macchina virtuale di eseguire codice arbitrario. Su ESXi le conseguenze degli attacchi sono limitate alla sandbox VMX, mentre su Workstation e Fusion l’esecuzione di codice può avvenire direttamente sulla macchina dove sono installati.
Una terza vulnerabilità, la CVE-2024-22254, è un bug di out-of-bound write che colpisce ESXi e consente a un attaccante con privilegi sul processo VMX di scrivere al di fuori dell’area di memoria e uscire dalla sandbox; ciò consentirebbe di accedere al dispositivo host ed eseguire comandi arbitrari.
La quarta vulnerabilità, la CVE-2024-22255, è un bug di information disclosure presente nell’UHCI USB controller in ESXi, Workstation e Fusion. La vulnerabilità consente a un attaccante con accesso di amministratore a una macchina virtuale di causare un leak di memoria dal processo VMX.
La compagnia ha rilasciato le patch per tutte e quattro le vulnerabilità. A parte per la prima vulnerabilità, VMware ha specificato che non esistono workaround da applicare; per questo ha invitato i suoi utenti ad aggiornare il prima possibile i prodotti alle versioni che risolvono bug.
Gen 18, 2019 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...