📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie o projeto e divulgue suas redes! Clique aqui
O VMware fixou quatro vulnerabilidades no VMware ESXi, estação de trabalho, fusão e ferramentas que foram exploradas como zero dias durante o concurso de hackers do PWN2OOW Berlin 2025 em maio de 2025.
Três das falhas remendadas têm uma classificação de gravidade de 9,3, pois permitem que programas em execução em uma máquina virtual convidada executem comandos no host. Essas falhas são rastreadas como CVE-2025-41236, CVE-2025-41237 e CVE-2025-41238.
Essas falhas são descritas no consultivo de segurança como:
CVE-2025-41236: VMware Esxi, estação de trabalho e fusão contêm uma vulnerabilidade inteira-overflow no adaptador de rede virtual VMXNET3. Nguyen Hoang Thach, da Starlabs SG, usou essa falha no Pwn2own.
CVE-2025-41237: VMware ESXi, estação de trabalho e fusão contêm um fluxo inteiro-inteiro no VMCI (interface de comunicação da máquina virtual) que leva a uma gravação fora dos limites. Essa falha foi usada por Corentin Bayet de táticas reversas no PWN2OOWN.
CVE-2025-41238: VMware Esxi, estação de trabalho e fusão contêm uma vulnerabilidade de fluxo de heap-overflow no controlador PVSCSI (SCSI paravirtualizado) que leva a uma escrita fora dos limites. Um ator malicioso com privilégios administrativos locais em uma máquina virtual pode explorar esse problema para executar o código como o processo VMX da máquina virtual em execução no host. Thomas Bouzerar e Etienne Helluy-Lafont, do Synacktiv, em Pwn2own, usaram essa falha.
A quarta falha, rastreada como CVE-2025-41239, recebeu uma classificação 7.1, pois é uma divulgação de informações. Também foi descoberto por Corentin Bayet de Tactics Reverse, que acorrentou com a CVE-2025-41237 durante o concurso de hackers.
A VMware não forneceu soluções alternativas, e a única maneira de corrigir essas vulnerabilidades é instalar as novas versões do software.
Deve-se notar que o CVE-2025-41239 afeta as ferramentas VMware para Windows, o que requer um processo de atualização diferente.
Essas vulnerabilidades foram demonstradas como zero dias durante o concurso de hackers do PWN2own Berlin 2025, onde os pesquisadores de segurança receberam US $ 1.078.750 após a exploração de 29 vulnerabilidades de dia zero.
O relatório da placa Deck Cisos realmente usa
Os CISOs sabem que obter a adesão da placa começa com uma visão clara e estratégica de como a segurança da nuvem gera valor comercial.
Este deck de relatório gratuito e editável do conselho ajuda os líderes de segurança a apresentar riscos, impactos e prioridades em termos comerciais claros. Transforme as atualizações de segurança em conversas significativas e tomada de decisão mais rápida na sala de reuniões.
Baixe o modelo para começar hoje
Três das falhas remendadas têm uma classificação de gravidade de 9,3, pois permitem que programas em execução em uma máquina virtual convidada executem comandos no host. Essas falhas são rastreadas como CVE-2025-41236, CVE-2025-41237 e CVE-2025-41238.
Essas falhas são descritas no consultivo de segurança como:
CVE-2025-41236: VMware Esxi, estação de trabalho e fusão contêm uma vulnerabilidade inteira-overflow no adaptador de rede virtual VMXNET3. Nguyen Hoang Thach, da Starlabs SG, usou essa falha no Pwn2own.
CVE-2025-41237: VMware ESXi, estação de trabalho e fusão contêm um fluxo inteiro-inteiro no VMCI (interface de comunicação da máquina virtual) que leva a uma gravação fora dos limites. Essa falha foi usada por Corentin Bayet de táticas reversas no PWN2OOWN.
CVE-2025-41238: VMware Esxi, estação de trabalho e fusão contêm uma vulnerabilidade de fluxo de heap-overflow no controlador PVSCSI (SCSI paravirtualizado) que leva a uma escrita fora dos limites. Um ator malicioso com privilégios administrativos locais em uma máquina virtual pode explorar esse problema para executar o código como o processo VMX da máquina virtual em execução no host. Thomas Bouzerar e Etienne Helluy-Lafont, do Synacktiv, em Pwn2own, usaram essa falha.
A quarta falha, rastreada como CVE-2025-41239, recebeu uma classificação 7.1, pois é uma divulgação de informações. Também foi descoberto por Corentin Bayet de Tactics Reverse, que acorrentou com a CVE-2025-41237 durante o concurso de hackers.
A VMware não forneceu soluções alternativas, e a única maneira de corrigir essas vulnerabilidades é instalar as novas versões do software.
Deve-se notar que o CVE-2025-41239 afeta as ferramentas VMware para Windows, o que requer um processo de atualização diferente.
Essas vulnerabilidades foram demonstradas como zero dias durante o concurso de hackers do PWN2own Berlin 2025, onde os pesquisadores de segurança receberam US $ 1.078.750 após a exploração de 29 vulnerabilidades de dia zero.
O relatório da placa Deck Cisos realmente usa
Os CISOs sabem que obter a adesão da placa começa com uma visão clara e estratégica de como a segurança da nuvem gera valor comercial.
Este deck de relatório gratuito e editável do conselho ajuda os líderes de segurança a apresentar riscos, impactos e prioridades em termos comerciais claros. Transforme as atualizações de segurança em conversas significativas e tomada de decisão mais rápida na sala de reuniões.
Baixe o modelo para começar hoje
#samirnews #samir #news #boletimtec #vmware #corrige #quatro #insetos #de #dia #zero #de #esxi #explorados #em #pwn2own #berlin
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário