Aggiornamenti recenti Marzo 24th, 2023 5:00 PM
Apr 01, 2019 Marco Schiaffino News, RSS, Vulnerabilità 0
Allarme rosso per i sistemi cloud che usano VMware. A turbare i sonni degli amministratori sono 5 vulnerabilità critiche segnalate dall’azienda, due delle quali sono state rese pubbliche dal Fluoroacetate Team nel corso del Pwn2Own Security Contest.
Le falle di sicurezza interessano VMware vSphere ESXi, VMware Workstation Pro / Player e VMware Fusion Pro / Fusion. Per tutte sono disponibili gli aggiornamenti che le correggono, ma il fattore tempo è quanto mai determinante.
Nel report pubblicato da VMware si specifica che le vulnerabilità individuate dal Fluoroacetate Team (CVE-2019-5518 e CVE-2019-5519 )riguardano il Virtual USB 1.1 UHCI (Universal Host Controller Interface).
Nel dettaglio, si tratterebbe di vulnerabilità legate alla lettura/scrittura e a una falla Time-of-check Time-of-use (TOCTOU) che consente, in pratica, di sfruttare un’API per avviare l’esecuzione di codice sull’host.
Altre due (CVE-2019-5524 e CVE-2019-5515) affliggono invece i virtual network adapters e1000 ed e1000e, con conseguenze simili.
L’ultima vulnerabilità (CVE-2019-5514) riguarda un’API su Fusion. In questo caso il rischio è che l’abuso di un bug in lettura/scrittura consenta l’esecuzione di un JavaScript a livello host.
Nella pratica, il rischio è che un pirata informatico utilizzi una macchina virtuale come trampolino di lancio per avviare l’esecuzione di un JavaScript sulla macchina host, prendendone così il controllo.
Secondo i ricercatori di VMware, un attacco del genere potrebbe risolversi più probabilmente in un Denial of Service, ma il livello di rischio è comunque elevatissimo. Un attacco del genere, infatti, potrebbe avere conseguenze molto serie su tutte le altre macchine virtuali che “convivono” sull’host.
Feb 06, 2023 0
Set 20, 2022 0
Ago 11, 2022 0
Giu 09, 2022 0
Mar 24, 2023 0
Mar 24, 2023 0
Mar 24, 2023 0
Mar 23, 2023 0
Mar 24, 2023 0
Mandiant ha presentato una nuova ricerca che analizza le...Mar 24, 2023 0
Quanto siamo “dataconsapevoli”? Con questa...Mar 24, 2023 0
Sophos ha pubblicato un nuovo report, intitolato Applying...Mar 20, 2023 0
L’affermazione del lavoro ibrido e remoto ha...Mar 17, 2023 0
Il team Security Intelligence di Microsoft ha recentemente...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 24, 2023 0
Quanto siamo “dataconsapevoli”? Con questa...Mar 23, 2023 0
IDC ha pubblicato la nuova edizione della Worldwide...Mar 23, 2023 0
Poste Italiane ha inaugurato un nuovo Fraud Prevention...Mar 22, 2023 0
I ricercatori di sicurezza di Google hanno individuato e...Mar 22, 2023 0
Kaspersky ha pubblicato un aggiornamento per il decryptor...