VMware ประกาศออก Patch อุดช่องโหว่ Cross-Site Scripting (XSS) บน VMware ESXi 6.0 และ 5.5
ช่องโหว่ XSS นี้ถูกพบบน ESXi Host Client ซึ่งผู้โจมตีนั้นจะต้องเป็นผู้ที่มีสิทธิ์เข้าไปบริหารจัดการ Virtual Machine ผ่านทาง ESXi Host Client ได้ หรือจะต้องหลอกให้ผู้ดูแลระบบทำการ Import VM ที่ถูกสร้างมาเป็นพิเศษเพื่อการโจมตีโดยเฉพาะ ซึ่งการโจมตีนี้จะเริ่มขึ้นเมื่อใช้ ESXi Host Cllient ในการบริหารจัดการ VM ที่ถูกสร้างมาเพื่อโจมตีเป็นพิเศษเหล่านั้น
ทาง VMware ได้ออก Patch มาเพื่อแก้ไขปัญหาเหล่านี้แล้ว และมีการแจ้งเตือนผู้ใช้งานด้วยว่าอย่า Import VM เข้ามาจากต้นทางที่ไม่น่าเชื่อถือ
ช่องโหว่นี้ถูกค้นพบโดย Caleb Watt โดยสำหรับผู้ที่ใช้งาน ESXi 6.0 หรือ 5.5 อยู่ สามารถค้นหาตัวอัปเดตเพื่ออุดช่องโหว่นี้ได้ที่ http://www.vmware.com/security/advisories/VMSA-2016-0023.html เลยครับ
ที่มา: กลุ่ม VMUG Thailand https://www.facebook.com/groups/1502318113117280/