VMware, VMware ESXi, Workstation, Fusion ve Cloud Foundation ürünlerinde kritik sandbox escape flaws zafiyetini kapatmak için güvenlik güncellemeleri yayınladı. Bu açıklar, saldırganların sanal makinelerden ana işletim sistemine erişmelerine olanak tanıyor.
CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 ve CVE-2024-22255 olarak izlenen dört güvenlik açığı CVSS v3 puanları 7.1 ila 9.3 arasında değişiyor ve hepsi kritik bir ciddiyet derecesine sahip.
- CVE-2024-22252 and CVE-2024-22253: Use-after free bugs in the XHCI and UHCI USB controllers (respectively), impacting Workstation/Fusion and ESXi. Exploitation requires local administrative privileges on a virtual machine and could allow an attacker to execute code as the VM’s VMX process on the host. On Workstation and Fusion, this could lead to code execution on the host machine.
- CVE-2024-22254: Out-of-bounds write flaw in ESXi, allowing an attacker with VMX process privileges to write outside the pre-determined memory region (bounds), potentially leading to sandbox escape.
- CVE-2024-22255: Information disclosure problem in the UHCI USB controller impacting ESXi, Workstation, and Fusion. This vulnerability cou
VMware, açıkların ciddiyeti nedeniyle eski ESXi sürümleri (6.7U3u), 6.5 (6.5U3v) ve VCF 3.x için güvenlik güncellemeleri yayınladı.
Güncellemelerin zaman kaybedilmeden uygulanması büyük önem taşımakta.