Kerentanan keamanan di platform Cloud Foundation, ESXi, Fusion, dan Workstation VMware dapat membuka jalan bagi pengambilalihan hypervisor di lingkungan virtual – dan tambalan masih tertunda untuk beberapa pengguna.
Bug (CVE-2021-22045) adalah kerentanan heap-overflow dengan tingkat keparahan tinggi yang membawa peringkat CVSS 7,7 dari 10.
Heap overflows adalah masalah memori yang dapat mengakibatkan kerusakan data atau perilaku tak terduga oleh proses apa pun yang mengakses memori yang terpengaruh area – dalam beberapa kasus mengakibatkan eksekusi kode jarak jauh (RCE).
Dalam hal ini, masalah secara khusus ada dalam fungsi emulasi perangkat CD-ROM dari produk yang terpengaruh.
“Aktor jahat dengan akses ke mesin virtual dengan emulasi perangkat CD-ROM mungkin dapat mengeksploitasi kerentanan ini bersama dengan masalah lain, untuk mengeksekusi kode pada hypervisor dari mesin virtual,” vendor mencatat dalam penasihatnya. “Eksploitasi yang berhasil membutuhkan gambar CD untuk dilampirkan ke mesin virtual.”
Reno Robert, peneliti kerentanan senior untuk Zero Day Initiative dari Trend Micro, mengatakan kepada Threatpost bahwa masalah tersebut disebabkan oleh “kurangnya validasi yang tepat dari panjang data yang disediakan pengguna sebelum menyalinnya ke buffer berbasis heap dengan panjang tetap.”
Selengkapnya: Threat Post
