VMware публикуваха в края на миналата седмица набор от обновления, адресиращи уязвимости в няколко от продуктите на виртуализационния гигант. Една от тях е от най-лошия тип и успешното ѝ експлоатиране позволява изпълнение на код от гост-машината към хоста.
CVE-2017-4924 е out-of-bounds write проблем в SVGA устройството. Двама специалисти от Comsecuris UG са докладвали за проблема по порограмата Zero Day Initiative (ZDI) на 22.07. Експлоатирането ѝ може да бъде осъществено при изпълнението на код на ниско ниво в госта. Макар и от VMware да ѝ дадоха най-висока степен на критичност, ZDI ѝ заделят ниво на важност (CVSS) от 6.2 или средно ниво на важност. Уязвимостта засяга VMware ESXi, vCenter Server, Fusion и Workstation.
Следващата по важност уязвимост е CVE-2017-4925 и засяга ESXi, Workstation и Fusion, а успешното ѝ експлоатиране може да доведе до срив на виртуалната машина.
Третата уязвимост засяга vCenter Server H5 Client и е под номер CVE-2017-4926.
