Dolandırıcı Bildirim
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
VMware ESXI, iş istasyonu, füzyon ve araçlarda, Broadcom üreticisi kısmen kritik güvenlik boşlukları hissetti. Geliştiriciler zayıflıkları onarmak için güncellenmiş yazılım paketlerini bir araya getirdiler.
Broadcom'un güvenlik bildiriminde, keşfedilen dört güvenlik boşluğunu açıklayacaksınız. VMware ESXI, iş istasyonu ve füzyonda, sanal VMXNet3 ağ adaptörüne sahip bir VM'de idari haklara sahip saldırganlar tüm taşmaya neden olabilir. Bu, ana bilgisayar sistemindeki kodu sağlar (CVE-2025-41236 / EUVD-2025-21544, CVSS 9.3Risk “eleştirmen“. CVSS 9.3Risk “eleştirmen“).
Eleştirmen Triad
Üçüncü kritik güvenlik açığı, üç ürün tarafından SCSI paravirtualize kontrolörde (PVSCSI) bulunabilir. Sanal makinelerdeki yöneticiler, taşma taşma taşmasına neden olabilir ve daha sonra planlanan depolama sınırlarının dışına yazabilir. Bu, ana bilgisayardaki VMX işleminin hakları ile kod yapmanızı sağlar. VMX-Sandbox istismarları VMware ESXI'da satranç olmalı ve GAP sadece promanlanmamış yapılandırmalarda istismar edilebilir (CVE 2025-41238 / EUVD-2025-21542, CVSS 9.3Risk “eleştirmen“).
Son bir boşluk olarak Broadcom, VMware ESXI, İş İstasyonu, Füzyon ve VMware Araçları'nda üniter belleği kullandığını bildirir. Bir VM'de idari haklara sahip olan kötü aktörler, Vasocchi ile iletişim kuran süreçlerden bellek alanlarını indirmek, indirmek ve okumak için bunu kötüye kullanabilirler.
Güvenlik Bildirimi'nde Broadcom, ilgili VMware ürününün sürümlerini listeler ve güncellenmiş yazılım paketlerini de bağlar. Güvenlik boşlukları esas olarak kritik bir risk olduğundan, yöneticiler uzun süre tereddüt etmemelidir, ancak güncellemeleri hızlı bir şekilde yüklemelidirler.
Daha yakın zamanlarda, Broadcom Haziran başında NSX VMware'deki güvenlik boşluklarını doldurmak zorunda kaldı. Bazı geliştiriciler onları yüksek özellikler olarak sınıflandırdı. Diğer şeylerin yanı sıra, saldırganlar serpiştirebilir ve erkekler kodunu gerçekleştirebilirdi.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
VMware ESXI, iş istasyonu, füzyon ve araçlarda, Broadcom üreticisi kısmen kritik güvenlik boşlukları hissetti. Geliştiriciler zayıflıkları onarmak için güncellenmiş yazılım paketlerini bir araya getirdiler.
Broadcom'un güvenlik bildiriminde, keşfedilen dört güvenlik boşluğunu açıklayacaksınız. VMware ESXI, iş istasyonu ve füzyonda, sanal VMXNet3 ağ adaptörüne sahip bir VM'de idari haklara sahip saldırganlar tüm taşmaya neden olabilir. Bu, ana bilgisayar sistemindeki kodu sağlar (CVE-2025-41236 / EUVD-2025-21544, CVSS 9.3Risk “eleştirmen“. CVSS 9.3Risk “eleştirmen“).
Eleştirmen Triad
Üçüncü kritik güvenlik açığı, üç ürün tarafından SCSI paravirtualize kontrolörde (PVSCSI) bulunabilir. Sanal makinelerdeki yöneticiler, taşma taşma taşmasına neden olabilir ve daha sonra planlanan depolama sınırlarının dışına yazabilir. Bu, ana bilgisayardaki VMX işleminin hakları ile kod yapmanızı sağlar. VMX-Sandbox istismarları VMware ESXI'da satranç olmalı ve GAP sadece promanlanmamış yapılandırmalarda istismar edilebilir (CVE 2025-41238 / EUVD-2025-21542, CVSS 9.3Risk “eleştirmen“).
Son bir boşluk olarak Broadcom, VMware ESXI, İş İstasyonu, Füzyon ve VMware Araçları'nda üniter belleği kullandığını bildirir. Bir VM'de idari haklara sahip olan kötü aktörler, Vasocchi ile iletişim kuran süreçlerden bellek alanlarını indirmek, indirmek ve okumak için bunu kötüye kullanabilirler.
Güvenlik Bildirimi'nde Broadcom, ilgili VMware ürününün sürümlerini listeler ve güncellenmiş yazılım paketlerini de bağlar. Güvenlik boşlukları esas olarak kritik bir risk olduğundan, yöneticiler uzun süre tereddüt etmemelidir, ancak güncellemeleri hızlı bir şekilde yüklemelidirler.
Daha yakın zamanlarda, Broadcom Haziran başında NSX VMware'deki güvenlik boşluklarını doldurmak zorunda kaldı. Bazı geliştiriciler onları yüksek özellikler olarak sınıflandırdı. Diğer şeylerin yanı sıra, saldırganlar serpiştirebilir ve erkekler kodunu gerçekleştirebilirdi.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!