Theo đó, lỗ hổng CVE-2024-37079 và CVE-2024-37080 được vá có điểm CVSS 9,8. Đây là các lỗ hổng tràn bộ nhớ heap trong quá trình triển khai giao thức DCE/RPC, có thể cho phép tin tặc có được quyền truy cập mạng vào máy chủ vCenter bằng cách gửi một gói mạng được thiết kế đặc biệt có khả năng dẫn đến thực thi mã từ xa.
Một lỗ hổng khác là CVE-2024-37081 (điểm CVSS: 7,8) là lỗ hổng leo thang đặc quyền cục bộ trong VMware vCenter, phát sinh do cấu hình sai sudo mà người dùng được xác thực có đặc quyền phi quản trị có thể khai thác để lấy quyền root.
Đây không phải là lần đầu tiên VMware giải quyết những thiếu sót trong việc triển khai giao thức DCE/RPC. Vào tháng 10/2023, nhà cung cấp dịch vụ ảo hóa thuộc sở hữu của Broadcom đã vá một lỗ hổng bảo mật quan trọng khác (CVE-2023-34048, điểm CVSS: 9,8). Lỗ hổng này cũng có thể bị lạm dụng để thực thi mã tùy ý từ xa.
Cả 3 lỗ hổng trên đều ảnh hưởng đến vCenter Server phiên bản 7.0 và 8.0, được VMware giải quyết trong các phiên bản 7.0 U3r, 8.0 U1e và 8.0 U2d.
Nhà phát hành khuyến nghị người dùng nên nhanh chóng cập nhật các bản vá mới để hạn chế nguy cơ bị tấn công từ các lỗ hổng còn tồn tại.
Nguyễn Liên
(broadcom.com)
13:00 | 06/06/2024
08:00 | 17/07/2024
09:00 | 24/10/2024
10:00 | 28/06/2024
15:00 | 20/09/2023
14:00 | 14/06/2023
09:00 | 02/02/2023
13:00 | 25/12/2024
Ngày 20/12,Giám đốc điều hành OpenAI Sam Altman thông báo công ty đang thử nghiệm các mô hình trí tuệ nhân tạo (AI) mới có khả năng suy luận tốt hơn, qua đó tăng khả năng cạnh tranh với các đối thủ khác.
07:00 | 02/12/2024
Mới đây, công ty an ninh mạng LastPass tại Mỹ đưa ra cảnh báo đến người dùng về thủ đoạn lừa đảo giả mạo bộ phận hỗ trợ khách hàng, dụ dỗ người dùng tải về ứng dụng có chứa mã độc nhằm tấn công thiết bị, chiếm đoạt thông tin nhạy cảm của nạn nhân.
10:00 | 18/10/2024
Microsoft thông báo đã chính thức ngừng sử dụng giao thức PPTP (Point-to-Point Tunneling Protocol) và giao thức L2TP (Layer 2 Tunneling Protocol) trong các phiên bản Windows Server tương lai, khuyến nghị quản trị viên chuyển sang các giao thức khác có khả năng bảo mật cao hơn.
17:00 | 11/10/2024
Mới đây, Microsoft đã công bố một công cụ phân tích nội dung web dựa trên trí tuệ nhân tạo (AI) mới có tên là Copilot Vision, nhấn mạnh vào tính an toàn và bảo mật để giải quyết các mối lo ngại tiềm ẩn.
Đầu tháng 01/2025, MediaTek đã thông báo một loạt các lỗ hổng bảo mật ảnh hưởng đến các chipset của hãng, bao gồm các sản phẩm từ điện thoại thông minh, máy tính bảng cho đến các thiết bị IoT và TV thông minh.
12:00 | 14/01/2025