Theo đó, lỗ hổng CVE-2024-37079 và CVE-2024-37080 được vá có điểm CVSS 9,8. Đây là các lỗ hổng tràn bộ nhớ heap trong quá trình triển khai giao thức DCE/RPC, có thể cho phép tin tặc có được quyền truy cập mạng vào máy chủ vCenter bằng cách gửi một gói mạng được thiết kế đặc biệt có khả năng dẫn đến thực thi mã từ xa.
Một lỗ hổng khác là CVE-2024-37081 (điểm CVSS: 7,8) là lỗ hổng leo thang đặc quyền cục bộ trong VMware vCenter, phát sinh do cấu hình sai sudo mà người dùng được xác thực có đặc quyền phi quản trị có thể khai thác để lấy quyền root.
Đây không phải là lần đầu tiên VMware giải quyết những thiếu sót trong việc triển khai giao thức DCE/RPC. Vào tháng 10/2023, nhà cung cấp dịch vụ ảo hóa thuộc sở hữu của Broadcom đã vá một lỗ hổng bảo mật quan trọng khác (CVE-2023-34048, điểm CVSS: 9,8). Lỗ hổng này cũng có thể bị lạm dụng để thực thi mã tùy ý từ xa.
Cả 3 lỗ hổng trên đều ảnh hưởng đến vCenter Server phiên bản 7.0 và 8.0, được VMware giải quyết trong các phiên bản 7.0 U3r, 8.0 U1e và 8.0 U2d.
Nhà phát hành khuyến nghị người dùng nên nhanh chóng cập nhật các bản vá mới để hạn chế nguy cơ bị tấn công từ các lỗ hổng còn tồn tại.
Nguyễn Liên
(broadcom.com)
13:00 | 06/06/2024
08:00 | 17/07/2024
09:00 | 24/10/2024
10:00 | 28/06/2024
15:00 | 20/09/2023
14:00 | 14/06/2023
09:00 | 02/02/2023
10:00 | 13/02/2025
Các chuyên gia của Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), trực thuộc Bộ An ninh Nội địa Hoa Kỳ, vừa phát hiện trên loại màn hình Contec CMS8000, được sử dụng để hiển thị tình trạng sức khỏe của bệnh nhân trong các bệnh viện tại Mỹ, có cài đặt sẵn cửa hậu bí mật.
10:00 | 11/12/2024
Lô hàng chip AI tiên tiến của Mỹ đã được cấp phép xuất khẩu sang UAE. Cơ sở tiếp nhận do Microsoft điều hành hứa hẹn sẽ thúc đẩy mạnh mẽ ứng dụng công nghệ AI tại quốc gia này.
07:00 | 02/12/2024
Mới đây, công ty an ninh mạng LastPass tại Mỹ đưa ra cảnh báo đến người dùng về thủ đoạn lừa đảo giả mạo bộ phận hỗ trợ khách hàng, dụ dỗ người dùng tải về ứng dụng có chứa mã độc nhằm tấn công thiết bị, chiếm đoạt thông tin nhạy cảm của nạn nhân.
10:00 | 25/11/2024
Mới đây, một số người dùng cho biết iPhone của họ đôi lúc phát ra giọng nói của người lạ, mặc dù không có ứng dụng nào đang hoạt động. Thậm chí, có người còn nghe thấy các cuộc trò chuyện hoặc tiếng la hét phát ra từ điện thoại.
OpenAI đang hoàn thiện thiết kế cho con chip nội bộ đầu tiên của mình trong vài tháng tới và có kế hoạch gửi nó đi chế tạo tại Taiwan Semiconductor Manufacturing Co (TSMC) trên tiến trình 3 nm trong năm nay.
08:00 | 19/02/2025