‫VMware یک توصیه ‌نامه‌ی امنیتی جهت رفع آسیب ‌پذیری‌هایی که محصولات مختلف آن را تحت ‌تأثیر قرار می‌دهد، منتشر ساخته است. مهاجم می‌تواند با سوءاستفاده از این آسیب ‌پذیری‌ها کنترل سیستم متأثر را در دست گیرد.
محصولاتی که تحت‌ تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند عبارتند از:
(VMware vSphere ESXi (ESXi
(VMware Workstation Pro/Player (Workstation
(VMware Fusion Pro/ Fusion (Fusion
VMware ESXi، Workstationو Fusionدارای آسیب ‌پذیری‌های خواندن خارج از محدوده با شناسه‌ی CVE-2019-5521و نوشتن خارج از محدوده با شناسه‌ی CVE-2019-5684در عملکرد pixel shaderهستند. هر دوی این آسیب‌پذیری‌ها از نظر شدت «مهم» رتبه‌بندی شده‌اند. آسیب پذیری CVE-2019-5521 دارای امتیاز CVSSv3 6.3-7.7و آسیب‌پذیری CVE-2019-5684دارای امتیاز CVSSv3 8.5 است.
جهت سوءاستفاده از این آسیب‌پذیری‌ها، لازم است مهاجم به یک ماشین مجازی که گرافیک سه‌بعدی آن فعال است دسترسی داشته باشد. گرافیک سه‌بعدی در ESXi به طور پیش‌فرض فعال نیست؛ ولی در Workstation و Fusion به طور پیش‌فرض فعال است.
سوءاستفاده‌ی موفق از آسیب‌پذیری خواندن خارج از محدوده (CVE-2019-5521)ممکن است منجر به افشای اطلاعات شود یا به مهاجمان دارای امتیاز دسترسی معمولی اجازه دهد یک حالت انکار سرویس در میزبان ایجاد نمایند.
آسیب‌پذیری نوشتن خارج از محدوده (CVE-2019-5684)تنها در صورتی می‌تواند مورد سوءاستفاده قرار گیرد که میزبان دارای درایو گرافیک NVIDIA که تحت‌تأثیر آسیب‌پذیری قرار گرفته است، باشد. سوءاستفاده‌ی موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد در میزبان شود.
یکی از راه‌های مقابله با این آسیب‌پذیری‌ها، غیرفعال‌کردن ویژگی ۳ D-acceleration است.
جهت رفع این آسیب‌ پذیری‌ها لازم است وصله‌های لیست‌شده در جدول زیر با توجه به نسخه‌ی محصول آسیب‌پذیر، به کار گرفته شود.

محصول آسیب‌پذیر	نسخه	سیستم‌عامل اجرایی	نسخه به‌روزرسانی‌شده
ESXi	۶٫۷	همه	ESXi670-201904101-SG
ESXi	۶٫۵	همه	ESXi650-201903001
Workstation	۱۵٫x	همه	۱۵٫۰٫۳
Workstation	۱۴٫x	همه	۱۴٫۱٫۶
Fusion	۱۱٫x	OSX	۱۱٫۰٫۳
Fusion	۱۰٫x	OSX	۱۰٫۱۶

از طرفی دیگر، آسیب‌‌پذیری CVE-2019-5684 را می‌توان با نصب درایو گرافیک NVIDIA به‌روزرسانی‌شده، برطرف ساخت.

منبع خبر: مرکزماهر