Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   VMWARE выпустила патч, вскрытые на PWN2OWN 2019 (http://txgate.io:443/showthread.php?t=17989)

sergio 04-05-2025 12:39 AM

Компания VMware пропатчила критические уязвимости в программных продуктах Workstation, ESXi и Fusion. Баги позволяли злоумышленнику выполнить вредоносный код на устройстве, добиться отказа в обслуживании и использовать в своих целях API гостевой машины. Заплатки доступны пользователям затронутых систем на официальном сайте разработчика.
Две бреши, зарегистрированные как CVE-2019-5518 и CVE-2019-5519, были обнаружены участниками конкурса этичных хакеров Pwn2Own 2019. Они позволяют осуществлять чтение и запись за пределами допустимого диапазона памяти, а также выполнить произвольный код на сервере, используя состояние гонки в целевой программе. Уязвимости связаны с виртуальным USB-адаптером и актуальны для трех версий гипервизора ESXi, системы VMware Workstation для Windows и Linux, а также приложения Fusion для macOS. Все затронутые продукты получили обновления.
Некорректная реализация сетевого адаптера e1000 стала причиной появления проблем в программах Workstation 14.x и Fusion 10.x. Брешь CVE-2019-5524, найденная специалистами компании Chaitin Tech, позволяет злоумышленнику с гостевым доступом к виртуальной машине выполнить сторонний код на уровне хоста. Уязвимость оценена как критическая и закрыта в релизах 14.1.6 и 10.1.6 соответственно.
Похожая брешь обнаружена в адаптере e1000e , однако ее использование чаще всего приводит к состоянию отказа в обслуживании. Эта уязвимость (CVE-2019-5515) оценена как существенная. Пользователям Workstation 14.x и 15.x, а также Fusion 10.x и 11.x рекомендуется произвести обновление до актуальных на данный момент версий.
Еще один критический баг найден в решении VMware Fusion 11.x для macOS. Уязвимость CVE-2019-5514 возникла из-за возможности неавторизованного доступа к некоторым API по протоколу WebSocket. Злоумышленник может воспользоваться этой брешью, убедив пользователя хост-системы запустить JavaScript-сценарий для несанкционированного выполнения команд на гостевой машине.
Производитель рекомендует владельцам уязвимых продуктов как можно скорее закрыть бреши:
Скачав патчи для гипервизора ESXi версий 6.0, 6.5 и 6.7.
Обновив клиент VMware Workstation Pro иWorkstation Player до версии1.6, 14.1.7, 15.0.3 или 15.0.4.
Установив релиз 10.1.6 или 11.0.3 программы Fusion для macOS.
В феврале этого года VMware пришлось выпускать обновления безопасности для нескольких своих продуктов из-за бреши в среде выполнения контейнеров runC. Баг, затронувший программные продукты разных вендоров, позволял злоумышленнику заменить исполняемый файл обработчика вредоносным скриптом и выполнить его на целевом устройстве.

xxxeee 04-05-2025 01:29 AM

не ожидал от них

Elusive 04-05-2025 01:59 AM

Продукт VMware теперь должен избегать многих проблем с продуктами VMware.
Скоро будет еще одна версия тестирования ОС Cubes, это будет хорошо, без проблем. Главная проблема с ошибками Fedora.
https://www.qubes-os.org
</br></br></br></br>


All times are GMT. The time now is 12:10 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.