Bốn lỗ hổng ảnh hưởng đến các phiên bản Workstation 17.x và Fusion phiên bản 13.x, với các bản sửa lỗi có sẵn trong phiên bản 17.5.2 và 13.5.2, Dưới đây là một mô tả ngắn gọn về các lỗ hổng:
- CVE-2024-22267 (điểm CVSS: 9.3) – Lỗ hổng use-after-free trong thiết bị Bluetooth có thể bị khai thác chiếm quyền quản trị.
- CVE-2024-22268 (điểm CVSS: 7.1) – Lỗ hổng heap buffer-overflow trong chức năng Shader cho phép truy cập phi quản trị vào máy ảo để tạo điều kiện DoS
- CVE-2024-22269 (điểm CVSS: 7.1) – Lỗ hổng làm lộ thông tin trong thiết bị Bluetooth có thể bị chiếm quyền quản trị và trích xuất thông tin từ bộ nhớ hypervisor.
- CVE-2024-22270 (điểm CVSS: 7.1) – Lỗ hổng làm lộ thông tin trong chức năng Chia sẻ tệp khách lưu trữ (HGFS).
Cách giải quyết tạm thời cho đến khi các bản vá có thể được triển khai, người dùng nên tắt hỗ trợ Bluetooth trên máy ảo và tắt tính năng tăng tốc 3D. Đối với CVE-2024-22270 ngoài việc cập nhật lên phiên bản mới nhất thì không có biện pháp giảm nhẹ nào.
Lời khuyên được đưa ra hơn hai tháng sau khi công ty phát hành các bản vá để giải quyết bốn lỗi bảo mật ảnh hưởng đến ESXi, Workstation và Fusion, bao gồm hai lỗ hổng nghiêm trọng (CVE-2024-22252 và , điểm CVSS: 9.3 / 8.4) có thể dẫn đến RCE.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
