Неотложные обновления VMware исправляют критические ошибки песочницы ESXi.

VMware выпустил срочные исправления для устранения критических уязвимостей в среде виртуализации ESXi, Workstation, Fusion и Cloud Foundation.

Виртуализационный гигант VMware выпустил срочные обновления для исправления критических уязвимостей "побега из песочницы" в продуктах ESXi, Workstation, Fusion и Cloud Foundation.

Самые серьезные уязвимости могут быть использованы злоумышленником с локальными правами администратора на виртуальной машине для выполнения кода в процессе VMX этой виртуальной машины, работающем на хосте.

Самые серьезные уязвимости - это использование уязвимости Use-after-free в контроллере USB XHCI (CVE-2024-22252) и использование уязвимости Use-after-free в контроллере USB UHCI (CVE-2024-22253), оба получили оценку CVSS 9.3.

Ниже приведены описания двух уязвимостей:

CVE-2024-22252: "VMware ESXi, Workstation и Fusion содержат уязвимость типа 'использование после освобождения' в контроллере USB XHCI", - гласит рекомендация. "Злоумышленник с локальными административными привилегиями на виртуальной машине может использовать эту проблему для выполнения кода в процессе VMX виртуальной машины, работающем на хосте.

CVE-2024-22253: "VMware ESXi, Workstation и Fusion содержат уязвимость типа 'использование после освобождения' в контроллере USB UHCI", - гласит рекомендация. "Злоумышленник с локальными административными привилегиями на виртуальной машине может использовать эту проблему для выполнения кода в процессе VMX виртуальной машины, работающем на хосте. В ESXi эксплуатация ограничена областью песочницы VMX, а в Workstation и Fusion это может привести к выполнению кода на машине, где установлен Workstation или Fusion".

Компания также устранила следующие две уязвимости:

• Уязвимость записи за границы в ESXi (CVE-2024-22254) (оценка CVSS 7.9)
• Уязвимость раскрытия информации в контроллере USB UHCI (CVE-2024-22255) (оценка CVSS 7.1)