VMware ออกแพตซ์แก้ไขช่องโหว่ ‘Spectre’ ความร้ายแรงระดับ Important บน ESXi, Workstation และ Fusion

ก่อนหน้านี้ VMware ได้ออกแพตซ์แก้ไขช่องโหว่ร้ายแรงบน vSphere Data Protection ไปแล้ว ในขณะเดียวกันก็ได้ประกาศออกแพตซ์อีกจำนวน 2 รายการซึ่งถูกจัดอยู่ในระดับ “Important” โดยผลิตภัณฑ์ของ VMware ที่ได้รับผลกระทบนี้ประกอบไปด้วย ESXi, Workstation และ Fusion

ช่องโหว่ดังกล่าวถูกค้นพบโดยทีม Google Project Zero ถูกตั้งชื่อว่า Spectre มีรหัสคือ CVE-2017-5753 และ CVE-2017-5715 เป็นการโจมตีแบบคาดเดาล่วงหน้า (Speculative Execution) เกิดจากการทำ Bounds-Check bypass และ Branch Target Injection บน CPU ส่งผลให้แอพพลิเคชั่นต่างๆ สามารถเข้าถึงข้อมูลบนหน่วยความจำได้ ผลกระทบจากการโจมตีดังกล่าวอาจทำให้เกิดการรั่วไหลของข้อมูลจาก Virtual Machine หนึ่ง ไปยังอีก Virtual Machine ที่รันอยู่บน Host เดียวกันได้

Spectre ถือเป็นช่องโหว่ที่ร้ายแรงระดับหนึ่ง แต่ก็สามารถแก้ไขได้ด้วยการแพตซ์ระบบปฏิบัติการ ทาง VMware จึงแนะนำผู้ใช้งานให้รีบอัปเดตแพตซ์โดยเร็วที่สุด เพื่ออุดช่องโหว่ดังกล่าวนี้

ที่มา: https://www.vmware.com/security/advisories/VMSA-2018-0002.html