VMware ออกแพตช์อุดช่องโหว่ Zero-day ที่ถูกเจาะในงาน Pwn2Own

VMware ออกแพตช์อุดช่องโหว่ Zero-day บน VMware Workstation และ Fusion Hypervisor ที่ถูกเจาะในงาน Pwn2Own Vancouver 2023

ในงาน Pwn2Own Vancouver 2023 นั้น VMware Workstation และ VMware Fusion ซึ่งเป็น Hypervisor สำหรับใช้งานบน Desktop ถูกเจาะผ่านช่องโหว่ 2 ตัว ล่าสุด VMware ออกแพตช์อุดช่องโหว่นี้เรียบร้อยแล้ว ได้แก่ ช่องโหว่แรก CVE-2023-20869 ช่องโหว่ Stack-based buffer-overflow ในระบบ Bluetooth device-sharing ส่งผลให้ผู้โจมตีระดับ local ทำการรันโค้ดผ่านทาง VMX process ได้ ส่วนช่องโหว่ที่ 2 คือ CVE-2023-20870 ช่องโหว่ Information Disclosure ในขั้นตอน Bluetooth Sharing ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่อยู่ภายในหน่วยความจำของ Hypervisor ได้จาก VM

นอกจากนี้ VMware ออกแพตช์อุดช่องโหว่อื่นอีก 2 ตัว สำหรับ VMware Workstation และ Fusion ได้แก่ CVE-2023-20871 และ CVE-2023-20872 ผู้ใช้งานสามารถอัปเดตไปใช้งาน VMware Workstation 17.0.2 และ VMware Fusion 13.0.2 เพื่ออุดช่องโหว่ได้แล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-zero-day-exploit-chain-used-at-pwn2own/