آسیب‌پذیری اجرای کد در محصولات VMware کشف شد

۳روز یکشنبه VMware به مشتریان خود خبر داد که یک آسیب‌پذیری دسترسی خارج از محدوده به حافظه را وصله کرده است. این آسیب‌پذیری محصولات Workstation و Fusion را تحت تاثیر قرار می‌دهد.

این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۶-۷۴۶۱ مربوط به تابع کشیدن-انداختن است که از روی سامانه‌ی میزبان قابل بهره‌برداری است و به مهاجم این امکان را می‌دهد بر روی سامانه عامل میزبان که Workstation یا Fusion را اجرا می‌کند، کد دلخواه را اجرا کند.

محصولات Workstation Player ،Pro ۱۲.x و Fusion (Pro) ۸.x دارای این آسیب‌پذیری هستند. این مشکل امنیتی با انتشار نسخه‌های ۱۲.۵.۲ و ۸.۵.۲ هریک از این محصولات وصله شده است. این شرکت همچنین یادآور شده است که محصول ESXi تحت تأثیر این آسیب‌پذیری نیست.

شرکت VMware گفته است این آسیب‌پذیری اگر قابلیت کشیدن-انداختن و رونویسی-چسباندن غیرفعال باشد، قابل بهره‌برداری نیست. این آسیب‌پذیری اخیراً در رقابت‌ نفوذ PwnFest کشف شده است. این رقابت امسال در یک کنفرانس امنیتی در کره‌ی جنوبی برگزار شده است.
این شرکت به محققان گروه Qihoo ۳۶۰ که این آسیب‌پذیری را کشف کرده‌اند، جایزه تخصیص داده است. در این رقابت‌ها نفوذگران کلاه سفید با نفوذ به محصولات شرکت‌هایی همچون گوگل، مایکروسافت، ادوبی میلیون‌ها دلار جایزه دریافت کرده‌اند.

این غول مجازی‌سازی هفته‌ی گذشته به مشتریان خود اطلاع داد که برخی از محصولاتش دارای آسیب‌پذیری هسته‌ی لینوکس (CVE-۲۰۱۶-۵۱۹۵) هستند که با نام «گاو کثیف» نیز شناخته می‌شود. این محصولات عبارتند از: Identity Manager ،vRealize Automation و vRealize Operations. این شرکت در حال حاضر تلاش می‌کند تا با ارائه‌ی به‌روزرسانی نرم‌افزاری برای این محصولات، آسیب‌پذیری ارتقاء امتیازات محلی (آسیب‌پذیری گاو کثیف) را در آن‌ها وصله کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter