Из четырех исправленных VMware уязвимостей две являются критическими

VMware исправила в своих продуктах ESXi, Workstation и Fusion четыре уязвимости. Две из них имеют статус критических. CVE-2024-22252 оценивается в 9.3 по CVSS и угрожает Workstation и Fusion. CVE-2024-22253 опасна для систем ESXi и получила 8.4 балла по CVSS. Обе критических проблемы безопасности относятся к ошибкам использования после освобождения в USB-контроллере XHCI.

Две другие уязвимости оценены в 7.9 баллов по CVSS. CVE-2024-22254 дает потенциальному злоумышленнику в процессе VMX осуществить выход из песочницы в ESXi. CVE-2024-22255 связана с раскрытием информации в USB-контроллере UHCI. При наличии прав администратора ее использование может привести к утечке памяти из процесса vmx.

VMWare устранила проблему для версий ESXi 6.5 - 6.5U3в, ESXi 6.7 - 6.7U3u, ESXi 7.0 - ESXi70U3p-23307199, ESXi 8.0 и ряда других, включая и официально неэксплуатируемые в настоящее время. Уточняется, что уязвимости обнаружены исследователями из команд Ant Group Light-Year и QiAnXin.