Η VMware διόρθωσε ευπάθειες που χρησιμοποιήθηκαν στο Pwn2Own Berlin 2025
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η VMware διόρθωσε ευπάθειες που χρησιμοποιήθηκαν στο Pwn2Own Berlin 2025
https://www.secnews.gr/654218/vmware-diorthose-eupatheies-xrisimopoihthikan-pwn2own-berlin-2025/
Jul 18th 2025, 10:13
by Digital Fortress
Η VMware κυκλοφόρησε ενημερώσεις ασφαλείας για την επιδιόρθωση τεσσάρων σοβαρών ευπαθειών στα προϊόντα ESXi, Workstation, Fusion και Tools, οι οποίες αξιοποιήθηκαν από ερευνητές κυβερνοασφάλειας, ως zero-days, κατά τη διάρκεια του κορυφαίου διαγωνισμού hacking Pwn2Own Berlin 2025, τον Μάιο.
Τρεις από τις ευπάθειες χαρακτηρίστηκαν ιδιαίτερα κρίσιμες, λαμβάνοντας βαθμολογία 9,3/10 στο σύστημα αξιολόγησης CVSS. Επέτρεπαν την απομακρυσμένη εκτέλεση κώδικα στον host υπολογιστή από εικονικές μηχανές guest. Οι ευπάθειες παρακολουθούνται ως CVE-2025-41236, CVE-2025-41237 και CVE-2025-41238.
Δείτε επίσης: Η Google διορθώνει νέα zero-day ευπάθεια στον Chrome browser
Αναλυτικά οι κρίσιμες ευπάθειες που χρησιμοποιήθηκαν στο Pwn2Own Berlin 2025
• CVE-2025-41236: Ευπάθεια integer-overflow στο VMXNET3 virtual network adapter, στα VMware ESXi, Workstation και Fusion. Το σφάλμα αυτό επέτρεπε την εκτέλεση κώδικα μέσω κακόβουλων πακέτων. Την ευπάθεια εκμεταλλεύτηκε ο ερευνητής Nguyen Hoang Thach της STARLabs SG.
• CVE-2025-41237: Πρόκειται για integer-underflow στο VMCI (Virtual Machine Communication Interface) που οδηγεί σε out-of-bounds write, ανοίγοντας τον δρόμο για επιθέσεις από VM σε host. Η ανακάλυψη ανήκει στον Corentin BAYET της REverse Tactics.
• CVE-2025-41238: Τα VMware ESXi, Workstation και Fusion περιέχουν μια ευπάθεια heap-overflow στο PVSCSI (Paravirtualized SCSI) controller, που οδηγεί σε out of-bounds write. Επιτρέπει σε έναν κακόβουλο χρήστη με τοπικά διαχειριστικά δικαιώματα σε VM να εκτελέσει κώδικα καθώς η διεργασία VMX της εικονικής μηχανής εκτελείται στον κεντρικό υπολογιστή. Η ευπάθεια αποκαλύφθηκε στο Pwn2Own Berlin 2025 από τους Thomas Bouzerar και Etienne Helluy-Lafont της Synacktiv.
Μία ακόμη ευπάθεια – χαμηλότερη σοβαρότητα, αλλά εξίσου σημαντική
Το τέταρτο σφάλμα, με αναγνωριστικό CVE-2025-41239, χαρακτηρίστηκε μέσης σοβαρότητας (CVSS 7.1) και αφορά αποκάλυψη ευαίσθητων πληροφοριών. Επηρεάζει αποκλειστικά το VMware Tools for Windows και απαιτεί ξεχωριστή διαδικασία ενημέρωσης. Η ανακάλυψη έγινε και πάλι από τον Corentin BAYET.
Δείτε επίσης: Zero-day του Microsoft SQL Server αποκαλύπτει ευαίσθητα δεδομένα
Η VMware διόρθωσε ευπάθειες που χρησιμοποιήθηκαν στο Pwn2Own Berlin 2025
Pwn2Own Berlin 2025: Πεδίο δοκιμών για zero–days
Οι ευπάθειες αυτές εντοπίστηκαν και αξιοποιήθηκαν στο πλαίσιο του Pwn2Own Berlin 2025, ενός από τους πλέον αναγνωρισμένους διαγωνισμούς επίδειξης zero-day επιθέσεων. Οι ερευνητές συγκέντρωσαν συνολικά 1.078.750 δολάρια για 29 διαφορετικά zero-days, με την VMware να βρίσκεται στο επίκεντρο σημαντικού μέρους των επιθέσεων.
Ο διαγωνισμός επικεντρώθηκε σε τεχνολογίες αιχμής στον επιχειρηματικό τομέα, με κατηγορίες όπως τεχνητή νοημοσύνη, web browsers, virtualization, local privilege escalation, servers, enterprise εφαρμογές, containerized περιβάλλοντα και automotive.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Η απάντηση της VMware
Η VMware παροτρύνει άμεσα τους διαχειριστές συστημάτων να εφαρμόσουν τις τελευταίες ενημερώσεις για να προστατευτούν από την εκμετάλλευση των ευπαθειών. Η εταιρεία δεν έχει παράσχει εναλλακτικές λύσεις πέρα από την αναβάθμιση, γεγονός που καταδεικνύει τη σοβαρότητα των ζητημάτων.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η VMware διόρθωσε ευπάθειες που χρησιμοποιήθηκαν στο Pwn2Own Berlin 2025
https://www.secnews.gr/654218/vmware-diorthose-eupatheies-xrisimopoihthikan-pwn2own-berlin-2025/
Jul 18th 2025, 10:13
by Digital Fortress
Η VMware κυκλοφόρησε ενημερώσεις ασφαλείας για την επιδιόρθωση τεσσάρων σοβαρών ευπαθειών στα προϊόντα ESXi, Workstation, Fusion και Tools, οι οποίες αξιοποιήθηκαν από ερευνητές κυβερνοασφάλειας, ως zero-days, κατά τη διάρκεια του κορυφαίου διαγωνισμού hacking Pwn2Own Berlin 2025, τον Μάιο.
Τρεις από τις ευπάθειες χαρακτηρίστηκαν ιδιαίτερα κρίσιμες, λαμβάνοντας βαθμολογία 9,3/10 στο σύστημα αξιολόγησης CVSS. Επέτρεπαν την απομακρυσμένη εκτέλεση κώδικα στον host υπολογιστή από εικονικές μηχανές guest. Οι ευπάθειες παρακολουθούνται ως CVE-2025-41236, CVE-2025-41237 και CVE-2025-41238.
Δείτε επίσης: Η Google διορθώνει νέα zero-day ευπάθεια στον Chrome browser
Αναλυτικά οι κρίσιμες ευπάθειες που χρησιμοποιήθηκαν στο Pwn2Own Berlin 2025
• CVE-2025-41236: Ευπάθεια integer-overflow στο VMXNET3 virtual network adapter, στα VMware ESXi, Workstation και Fusion. Το σφάλμα αυτό επέτρεπε την εκτέλεση κώδικα μέσω κακόβουλων πακέτων. Την ευπάθεια εκμεταλλεύτηκε ο ερευνητής Nguyen Hoang Thach της STARLabs SG.
• CVE-2025-41237: Πρόκειται για integer-underflow στο VMCI (Virtual Machine Communication Interface) που οδηγεί σε out-of-bounds write, ανοίγοντας τον δρόμο για επιθέσεις από VM σε host. Η ανακάλυψη ανήκει στον Corentin BAYET της REverse Tactics.
• CVE-2025-41238: Τα VMware ESXi, Workstation και Fusion περιέχουν μια ευπάθεια heap-overflow στο PVSCSI (Paravirtualized SCSI) controller, που οδηγεί σε out of-bounds write. Επιτρέπει σε έναν κακόβουλο χρήστη με τοπικά διαχειριστικά δικαιώματα σε VM να εκτελέσει κώδικα καθώς η διεργασία VMX της εικονικής μηχανής εκτελείται στον κεντρικό υπολογιστή. Η ευπάθεια αποκαλύφθηκε στο Pwn2Own Berlin 2025 από τους Thomas Bouzerar και Etienne Helluy-Lafont της Synacktiv.
Μία ακόμη ευπάθεια – χαμηλότερη σοβαρότητα, αλλά εξίσου σημαντική
Το τέταρτο σφάλμα, με αναγνωριστικό CVE-2025-41239, χαρακτηρίστηκε μέσης σοβαρότητας (CVSS 7.1) και αφορά αποκάλυψη ευαίσθητων πληροφοριών. Επηρεάζει αποκλειστικά το VMware Tools for Windows και απαιτεί ξεχωριστή διαδικασία ενημέρωσης. Η ανακάλυψη έγινε και πάλι από τον Corentin BAYET.
Δείτε επίσης: Zero-day του Microsoft SQL Server αποκαλύπτει ευαίσθητα δεδομένα
Η VMware διόρθωσε ευπάθειες που χρησιμοποιήθηκαν στο Pwn2Own Berlin 2025
Pwn2Own Berlin 2025: Πεδίο δοκιμών για zero–days
Οι ευπάθειες αυτές εντοπίστηκαν και αξιοποιήθηκαν στο πλαίσιο του Pwn2Own Berlin 2025, ενός από τους πλέον αναγνωρισμένους διαγωνισμούς επίδειξης zero-day επιθέσεων. Οι ερευνητές συγκέντρωσαν συνολικά 1.078.750 δολάρια για 29 διαφορετικά zero-days, με την VMware να βρίσκεται στο επίκεντρο σημαντικού μέρους των επιθέσεων.
Ο διαγωνισμός επικεντρώθηκε σε τεχνολογίες αιχμής στον επιχειρηματικό τομέα, με κατηγορίες όπως τεχνητή νοημοσύνη, web browsers, virtualization, local privilege escalation, servers, enterprise εφαρμογές, containerized περιβάλλοντα και automotive.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Η απάντηση της VMware
Η VMware παροτρύνει άμεσα τους διαχειριστές συστημάτων να εφαρμόσουν τις τελευταίες ενημερώσεις για να προστατευτούν από την εκμετάλλευση των ευπαθειών. Η εταιρεία δεν έχει παράσχει εναλλακτικές λύσεις πέρα από την αναβάθμιση, γεγονός που καταδεικνύει τη σοβαρότητα των ζητημάτων.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz