تماس با مرکز داده
۰۲۵-۳۲۱۲۳۰۰۰

ارائه وصله های امنیتی جدید برای آسیب پذیری های شرکت VMware

ارائه وصله های امنیتی جدید برای آسیب پذیری های شرکت VMware

VMware

آسیب پذیری های جدید موجود در پلتفرم محبوب مجازی سازی «VMware» وصله شدند.

به گزارش کارگروه امنیت مرکز داده امین ؛  آسیب پذیری جدید در پلتفرم محبوب مجازی سازی «VMware» یافت شده  که با شناسه  «  VMSA-2018-0028  ,CVE-2018-6980» در تاریخ November 13, 2018  معرفی شد.

این آسیب پذیری در VMware vRealize Log Insight بعلت مجوز نادرست در روش ثبت نام کاربر است. بهره برداری موفق از این مسئله می تواند کاربران مجاز را تنها با اجازه به انجام برخی از توابع اداری که آنها مجاز به انجام هستند اجازه می دهد.

 

شرکت VMware از Piotr Madej از لهستان  بابت ارائه این گزارش به این شرکت تشکر کرد.

 

از این رو شرکت طراح این برنامه با ارائه افزونه امنیتی توانست جلوی این آسیب پذیری را بگیرد. لذا به همه کاربرانی که از این برنامه استفاده می کنند، توصیه می شوند هر چه سریعتر برنامه های خود را به روز رسانی کنند.

 

پیش از این دو آسیب پذیری در برنامه محبوب مجازی سازی «VMware» یافت شده بود که با شناسه های «CVE-2018-6981 و CVE-2018-6982 ,VMSA-2018-0027» معرفی شده اند.

این آسیب‌پذیری‌ها در VMware ESXi، Fusion و Workstation به دلیل استفاده از پشته حافظه Uinitialized (مقداردهی نشده با مقادیر اولیه) در کارت شبکه vmxnet3 است. این موضوع به مهمان اجازه می‌دهد تا بتواند کدهای مورد نظرش را بر روی سیستم میزبان اجرا نماید. اگر اگر vmxnet3 فعال باشد این آسیب‌پذیری وجود دارد در غیر این صورت این آسیب‌پذیری وجود ندارد.

این آسیب پذیری ها در جریان برگزاری یک رزمایش امنیت سایبری به نام «GeekPwn» یافت شد و تا کنون هیچ وصله امنیتی ای برای آن ارائه نشده است. این رزمایش سال جاری نیز با عنوان «GeekPwn2018» در بازه زمانی 24 الی 25 اکتبر برگزار شد و هکرهای چینی توانستند آسیب پذیر یاد شده را کشف کنند و به عنوان پاداش مبلغی معادل « 800,000 » دلار دریافت کنند.

 

 

مرکز داده امین : ارائه دهنده سرورهای مجازی ، سرورهای اختصاصی ،سرویس اشتراک فضا و …..

Related Post
تاکسی اینترنتی
لو رفتن اطلاعات ۶۰ هزار راننده تاکسی اینترنتی “تپسی”

تاکسی اینترنتی به گزارش کار گروه امنیت مرکز داده امین دهها هزار صورتحساب مربوط به یک شرکت حمل و نقل اینترنتی در ایران، به دلیل امنیت پایین بانک داده آن لو رفته است. صورتحساب‌های لورفته شامل اطلاعات شخصی، از جمله نام، نام خانوادگی، شماره ملی و تاریخ صورتحساب‌ها بوده است. شرکت تپسی تایید کرده است […]

Read more
سوءاستفاده از آسیب پذیری روز صفرم zero-day در گوگل کروم و مایکروسافت

vulnerability zero-day به گزارش کار گروه امنیت مرکز داده امین مهندسان شرکت گوگل یک آسیب پذیری را در یک پچ آپدیت گوگل کروم شناسایی کرده اند که هکرها بوسیله حملات سایبری (cyber-attacks) می توانند  از دسترسی غیر قانونی به دستگاه ها بهره برداری کند. Clement Lecigne ، عضو گروه تجزیه و تحلیل آسیب گوگل، مقاله ای […]

Read more
باج افزاری جدید ، اطلاعات کارت اعتباری PayPal را با صفحه فیشینگ جعلی سرقت می کند.

Ransomware PayPal به گزارش کار گروه امنیت مرکز داده امین Ransomware (باج افزار) یک واقعیت است. مجرمان  در این زمینه به طور روزافزون و اغلب امروزه برای بدست آوردن  پول از راه های آسان و غیرمجاز استفاده می کنند. با توجه به یافته های جدید تیم   امنیت مرکز داده امین ، باج افزاری  در حال […]

Read more


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *