Theo đó, lỗ hổng CVE-2024-37079 và CVE-2024-37080 được vá có điểm CVSS 9,8. Đây là các lỗ hổng tràn bộ nhớ heap trong quá trình triển khai giao thức DCE/RPC, có thể cho phép tin tặc có được quyền truy cập mạng vào máy chủ vCenter bằng cách gửi một gói mạng được thiết kế đặc biệt có khả năng dẫn đến thực thi mã từ xa.
Một lỗ hổng khác là CVE-2024-37081 (điểm CVSS: 7,8) là lỗ hổng leo thang đặc quyền cục bộ trong VMware vCenter, phát sinh do cấu hình sai sudo mà người dùng được xác thực có đặc quyền phi quản trị có thể khai thác để lấy quyền root.
Đây không phải là lần đầu tiên VMware giải quyết những thiếu sót trong việc triển khai giao thức DCE/RPC. Vào tháng 10/2023, nhà cung cấp dịch vụ ảo hóa thuộc sở hữu của Broadcom đã vá một lỗ hổng bảo mật quan trọng khác (CVE-2023-34048, điểm CVSS: 9,8). Lỗ hổng này cũng có thể bị lạm dụng để thực thi mã tùy ý từ xa.
Cả 3 lỗ hổng trên đều ảnh hưởng đến vCenter Server phiên bản 7.0 và 8.0, được VMware giải quyết trong các phiên bản 7.0 U3r, 8.0 U1e và 8.0 U2d.
Nhà phát hành khuyến nghị người dùng nên nhanh chóng cập nhật các bản vá mới để hạn chế nguy cơ bị tấn công từ các lỗ hổng còn tồn tại.
Nguyễn Liên
(broadcom.com)
13:00 | 06/06/2024
08:00 | 17/07/2024
09:00 | 24/10/2024
10:00 | 28/06/2024
15:00 | 20/09/2023
14:00 | 14/06/2023
09:00 | 02/02/2023
10:00 | 13/02/2025
Các chuyên gia của Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), trực thuộc Bộ An ninh Nội địa Hoa Kỳ, vừa phát hiện trên loại màn hình Contec CMS8000, được sử dụng để hiển thị tình trạng sức khỏe của bệnh nhân trong các bệnh viện tại Mỹ, có cài đặt sẵn cửa hậu bí mật.
09:00 | 02/02/2025
Trong quyết định công bố hôm đầu tháng một, tòa án liên bang tại San Francisco đã bác bỏ lập luận của Google. Theo đó, gã khổng lồ công nghệ này có nguy cơ đối mặt với vụ kiện về quyền riêng tư trên điện thoại.
10:00 | 16/12/2024
Mới đây, Google thông báo cập nhật biện pháp chống theo dõi cho thiết bị chạy Android. Theo đó, tính năng này có tên “Tìm kiếm xung quanh” (Find Nearby), tương thích với các thiết bị dịch vụ tìm kiếm phần cứng thất lạc của Google (Find My Device).
10:00 | 11/12/2024
Mới đây, Microsoft đã phát hành bản vá Patch Tuesday tháng 12 để giải quyết 71 lỗ hổng bảo mật. Đáng lưu ý, bản vá lần này khắc phục 01 lỗ hổng zero-day đang bị khai thác tích cực trong thực tế.
OpenAI đang hoàn thiện thiết kế cho con chip nội bộ đầu tiên của mình trong vài tháng tới và có kế hoạch gửi nó đi chế tạo tại Taiwan Semiconductor Manufacturing Co (TSMC) trên tiến trình 3 nm trong năm nay.
08:00 | 19/02/2025