VMware vá lỗ hổng nghiêm trọng trong công cụ dành cho Windows

VMware đã phát hành bản vá cho một lỗ hổng nghiêm trọng trong VMware Tools dành cho Windows. Lỗ hổng có thể bị khai thác để thực thi mã tùy ý với đặc quyền nâng cao.

Cụ thể, lỗ hổng leo thang đặc quyền có định danh CVE-2021-21999, có điểm CVSS 7,8. Kẻ tấn công có quyền truy cập vào máy ảo có thể khai thác lỗ hổng này bằng cách thả một tệp độc hại có tên ‘openssl.cnf’ vào trong một thư mục không bị giới hạn, cho phép thực thi mã với các đặc quyền nâng cao.

Theo VMware, lỗ hổng này không chỉ giới hạn ở VMware Tools cho Windows, mà còn ảnh hưởng VMware Remote Console (VMRC) cho Windows và VMware App Volumes.

Để giải quyết lỗ hổng, VMware phát hành VMware Tools cho Windows phiên bản 11.2.6, VMRC cho Windows phiên bản 12.0.1 và App Volumes 4 release 2103/App Volumes phiên bản 2.18.10. Người dùng nên cập nhật bản vá sớm nhất để tránh rủi ro mất an toàn thông tin.

Thiên Thanh (T/h)