InforSec News: Các lỗ hổng bảo mật VMware bị khai thác, Broadcom phát hành các bản vá khẩn cấp

Top Block Position

Các lỗ hổng bảo mật VMware bị khai thác, Broadcom phát hành các bản vá khẩn cấp

Broadcom đã phát hành các bản cập nhật bảo mật để giải quyết ba lỗ hổng bảo mật bị khai thác tích cực trong các sản phẩm VMware ESXi, Workstation và Fusion có thể dẫn đến việc thực thi mã và tiết lộ thông tin.

Danh sách các lỗ hổng như sau

CVE-2025-22224 (CVSS: 9.3) - Lỗ hổng Time-of-Check Time-of-Use (TOCTOU) dẫn đến ghi ngoài giới hạn mà tác nhân độc hại có đặc quyền quản trị cục bộ trên máy ảo có thể khai thác để thực thi mã như quy trình VMX của máy ảo chạy trên máy chủ.
CVE-2025-22225 (CVSS: 8.2) - Một lỗ hổng ghi tùy ý mà một tác nhân độc hại có đặc quyền trong tiến trình VMX có thể khai thác để dẫn đến thoát sandbox.
CVE-2025-22226 (CVSS: 7.1) - Một lỗ hổng tiết lộ thông tin do việc đọc ngoài giới hạn trong HGFS mà một tác nhân độc hại có đặc quyền quản trị đối với máy ảo có thể khai thác để rò rỉ bộ nhớ từ quy trình vmx.
VMware ESXi 8.0 - Đã vá trong ESXi80U3d-24585383, ESXi80U2d-24585300
VMware ESXi 7.0 - Đã vá trong ESXi70U3s-24585291
VMware Workstation 17.x - Đã vá trong 17.6.3
VMware Fusion 13.x - Đã vá trong 13.6.3
VMware Cloud Foundation 5.x - Bản vá không đồng bộ cho ESXi80U3d-24585383
VMware Cloud Foundation 4.x - Bản vá đồng bộ cho ESXi70U3s-24585291
VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x - Đã vá trong ESXi 7.0U3s, ESXi 8.0U2d và ESXi 8.0U3d
VMware Telco Cloud Infrastructure 3.x, 2.x - Đã vá trong ESXi 7.0U3s

Broadcom thừa nhận rằng họ có 'thông tin cho thấy việc khai thác những lỗ hổng này đã xảy ra, nhưng họ không giải thích chi tiết về bản chất của các cuộc tấn công hoặc danh tính của các tác nhân đe dọa đã vũ khí hóa chúng. Trong bối cảnh khai thác tích cực, điều cần thiết là người dùng phải áp dụng các bản vá mới nhất để bảo vệ tối ưu.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học