Sürgőssé vált a VMware Tools frissítése

​Mind nagyobb kockázatot jelent a múlt hónapban napvilágra került VMware Tools sebezhetőség.
 

A CISA a CVE-2025-41244 azonosítóval ellátott VMware sebezhetőséget azonnali hatállyal felvette az ügynevezett KEV (Known Exploited Vulnerabilities Catalog) katalógusába, és egyúttal 2025. november 20-ig adott haladékot az arra kötelezett amerikai kormányzati intézményeknek, ügynökségeknek a sérülékenység megszüntetésére. Noha ez a kötelezettség nem terjed ki a piaci szereplőkre, azért felhívja a figyelmet a kockázatokra és a teendőkre. 

A szóban forgó sebezhetőségről a Broadcom idén szeptemberben adott tájékoztatást, és tette elérhetővé a hibajavításhoz szükséges patch-eket. A VMware Tools és a VMware Aria Operations esetében jelen levő biztonsági rés lokális módon válhat kihasználhatóvá, de nem szükséges hozzá adminisztrátori jogosultság. A sérülékenység ugyanis jogosultsági szint emelést segít elő, ami aztán virtuális gépeken történő, root szintű, jogosulatlan kódfuttatáshoz vezethet.

A sérülékenységet az NVISO biztonsági cég fedezte fel, és jelezte azt a Broadcomnak. Egyúttal egy exploitot is készített a sebezhetőség kockázatainak demonstrálásához. Ugyanakkor az is kiderült, hogy a biztonsági hiba bizonyos körökben már régebb óta ismert volt: Kínából induló kibertámadásokban is szerephez jutott 2024 októberében.
 
  1. 4

    Az Adobe négy biztonsági hibát javított a PDF-kezelő alkalmazásaiban.

  2. 4

    Az Adobe egy tucat biztonsági hibajavítást készített a ColdFusion alkalmazáshoz.

  3. 4

    Az Adobe Creative Cloud Desktop alkalmazás egy sérülékenységet tartalmaz.

  4. 4

    Az SAP tizennégy biztonsági hibát szüntetett meg a decemberi frissítéseivel.

  5. 4

    A Microsoft letölthetővé tette a Windows novemberi biztonsági hibajavításait.

  6. 4

    A Microsoft Office összesen tizenhárom biztonsági hibajavítást kapott.

  7. 4

    A SharePoint Serverhez egy biztonsági hibajavítás vált letölthetővé.

  8. 3

    A Mautic alkalmazáshoz két biztonsági frissítés vált letölthetővé.

  9. 3

    A Python esetében három biztonsági hiba javítására van szükség.

  10. 4

    A Microsoft számos biztonsági javítással adta ki az Edge böngésző legfrissebb verzióját.

Partnerhírek
Túlélni a zsarolóvírust – hogyan lehet a kiberreziliencia versenyelőny?

A zsarolóvírus-támadások nem csupán technikai fennakadásokat vagy átmeneti anyagi veszteségeket okoznak – hanem akár egy teljes vállalkozás bukását is jelenthetik.

​Iskolakezdés: így készítsük fel a gyerekek első telefonját vagy laptopját

Az iskolakezdés sok családban nemcsak a füzetek és tolltartók beszerzését jelenti, hanem az első saját okoseszköz – telefon, tablet vagy laptop – megvásárlását is a gyerekek számára.

hirdetés
Közösség