VMware แจ้งเตือนไปยังผู้ดูและระบบ Virtualization ทั่วโลก ให้รีบทำการอัพเดทแพทช์เพื่ออุดช่องโหว่บน vSphere Web Client หลังค้นพบปัญหาด้านความมั่นคงปลอดภัยบน VMware Client Integration Plugin ส่งผลให้ไม่สามารถจัดการ Web Session ได้อย่างปลอดภัย
ช่องโหว่ที่พบบน Plugin นี้ คือ CVE-2016-2076 ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle หรือไฮแจ็ค Web Session ในกรณีที่ผู้ใช้ vSphere Web Client เข้าถึงเว็บไซต์ที่มีมัลแวร์แฝงตัวอยู่

แพลทฟอร์มที่ได้รับผลกระทบต่อช่องโหว่นี้ประกอบด้วย vCenter Server 6.0, vCenter Server 5.5 U3a, U3b, U3c, vCloud Director 5.5.5 และ vRealize Automation Identity Appliance 6.2.4 ที่มาพร้อมกับ VMware Client Integration Plugin
การอุดช่องโหว่นี้อาจยุ่งยากกว่าปกติสักเล็กน้อย เนื่องจากจำเป็นต้องจัดการทั้งฝั่งเซิร์ฟเวอร์และฝั่งไคลเอนท์ โดยเริ่มจากการอัพเกรด vCenter, vCloud Director หรือ vRealize ก่อนเป็นอันดับแรก จากนั้นให้อัพเกรด Plugin ของฝั่งไคลเอนท์ที่มีการใช้ vSphere Web Client ต่อ
อ่านรายละเอียดเพิ่มเติมและวิธีการอุดช่องโหว่ได้ที่: http://www.vmware.com/security/advisories/VMSA-2016-0004.html