Na hackatonu China’s Tianfu Cup byla odhalena kritická zranitelnost v produktech pro virtualizaci společnosti VMware, konkrétně se jedná o CVE-2020–4004, které dostalo hodnocení CVSS 9.3. Chyba umožnuje při správném použítí na některém z běžících virtuálních strojů s USB3 kontrolerem spuštění kódu na hypervizoru.
Na stejném hackatonu byla rovněž objevena chyba CVE-2020–4005, která využívá výše popsanou zranitelnost k eskalaci práv. Více na oficiálních stránkách. Obě chyby jsou již opraveny, patch byl vydán po 11 dnech od odhalení.
Na závěr dodejme, že toto není jediná chyba s CVSS 9+ tento měsíc. Začátkem listopadu byla objevena chyba v implementaci OpenSLP, ta ale nebyla zneužitelná z virtuálního stroje, ale vyžadovala přístup na managementovou síť.
ČLÁNKY DO MAILU