VMware, Workstation ve Fusion ürünlerde ortaya çıkan zero-day zafiyeti için güncelleme yayınladı. Güvenlik açığı, Pwn2Own Vancouver 2023 bilgisayar korsanlığı yarışmasının ikinci gününde STAR Labs ekibinin güvenlik araştırmacıları tarafından kullanılmıştı.
Trend Micro, zafiyetin teknik ayrıntıları yayınlamadan önce VMware’ zafiyeti kapatmak 90 gün süre vermişti. Toplamda iki zafiyet bulunmakta:
CVE-2023-20869 – VMX konfigürasyon dosyalarının istismar ederek kod yürütmeye izin veriyor.
CVE-2023-20870 – Hypervisor belleğindeki üzerinden veri okunmasına izin veriyor.
Diğer iki zafiyet ise aşağıdaki gibi:
CVE-2023-20871 – VMware Fusion Raw Disk zafiyeti, root haklarının alınmasına izin veriyor.
CVE-2023-20872 – SCSI CD/DVD an out-of-bounds read/write zafiyeti. Bu zafiyet SCSI denetleyicisi üzerinden sistemlerin istismar edilmesine izin veriyor.
Son olarak CVE-2023-20872 zafiyeti için geçici çözüm bulunmakta. VMware CD/DVD aygıtları sistemden kaldırmalarını ve SCSI denetleyecilerinin kullanmamasını öneriyor.
Kaynak: bleepingcomputer.com