Aggiornamenti recenti Settembre 10th, 2024 9:57 AM
Apr 01, 2019 Marco Schiaffino News, RSS, Vulnerabilità 0
Allarme rosso per i sistemi cloud che usano VMware. A turbare i sonni degli amministratori sono 5 vulnerabilità critiche segnalate dall’azienda, due delle quali sono state rese pubbliche dal Fluoroacetate Team nel corso del Pwn2Own Security Contest.
Le falle di sicurezza interessano VMware vSphere ESXi, VMware Workstation Pro / Player e VMware Fusion Pro / Fusion. Per tutte sono disponibili gli aggiornamenti che le correggono, ma il fattore tempo è quanto mai determinante.
Nel report pubblicato da VMware si specifica che le vulnerabilità individuate dal Fluoroacetate Team (CVE-2019-5518 e CVE-2019-5519 )riguardano il Virtual USB 1.1 UHCI (Universal Host Controller Interface).
Nel dettaglio, si tratterebbe di vulnerabilità legate alla lettura/scrittura e a una falla Time-of-check Time-of-use (TOCTOU) che consente, in pratica, di sfruttare un’API per avviare l’esecuzione di codice sull’host.
Altre due (CVE-2019-5524 e CVE-2019-5515) affliggono invece i virtual network adapters e1000 ed e1000e, con conseguenze simili.
L’ultima vulnerabilità (CVE-2019-5514) riguarda un’API su Fusion. In questo caso il rischio è che l’abuso di un bug in lettura/scrittura consenta l’esecuzione di un JavaScript a livello host.
Nella pratica, il rischio è che un pirata informatico utilizzi una macchina virtuale come trampolino di lancio per avviare l’esecuzione di un JavaScript sulla macchina host, prendendone così il controllo.
Secondo i ricercatori di VMware, un attacco del genere potrebbe risolversi più probabilmente in un Denial of Service, ma il livello di rischio è comunque elevatissimo. Un attacco del genere, infatti, potrebbe avere conseguenze molto serie su tutte le altre macchine virtuali che “convivono” sull’host.
Lug 22, 2024 0
Mar 25, 2024 0
Mar 22, 2024 0
Feb 21, 2024 0
Set 10, 2024 0
Set 09, 2024 0
Set 09, 2024 0
Set 06, 2024 0
Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Set 02, 2024 0
Il numero di attacchi alle applicazioni e alle API è in...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 10, 2024 0
I ricercatori di ESET hanno individuato una campagna ai...Set 09, 2024 0
I ricercatori di Pathstack hanno individuato una nuova...Set 09, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...