Hlavní navigace

Chyba ve VMware umožňuje spustit kód na hypervizoru

Sdílet

LD 26. 11. 2020
vmware Autor: vmware

Na hackatonu China’s Tianfu Cup byla odhalena kritická zranitelnost v produktech pro virtualizaci společnosti VMware, konkrétně se jedná o CVE-2020–4004, které dostalo hodnocení CVSS 9.3. Chyba umožnuje při správném použítí na některém z běžících virtuálních strojů s USB3 kontrolerem spuštění kódu na hypervizoru.

Na stejném hackatonu byla rovněž objevena chyba CVE-2020–4005, která využívá výše popsanou zranitelnost k eskalaci práv. Více na oficiálních stránkách. Obě chyby jsou již opraveny, patch byl vydán po 11 dnech od odhalení.

Na závěr dodejme, že toto není jediná chyba s CVSS 9+ tento měsíc. Začátkem listopadu byla objevena chyba v implementaci OpenSLP, ta ale nebyla zneužitelná z virtuálního stroje, ale vyžadovala přístup na managementovou síť.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?