VMWare ออก patch ปิดช่องโหว่ CVE-2016-7461

VMWare ออก patch ปิดช่องโหว่ในส่วน function drag and drop function (การลากไฟล์จากนอก VMWare เข้าไปใน VMWare) ที่ทำให้ Attacker สามารถรัน code (execute arbitrary code) บนเครื่องที่เป็น Host ที่รัน VMWare Workstation, VMWare Fusion ได้

ช่องโหว่ดังกล่าวได้เลข CVE เป็น CVE-2016-7461 โดยกระทบกับ Workstation Player และ Pro 12.x, และ Fusion (Pro) 8.x. แต่ไม่มีผลกระทบกับ ESXi แต่อย่างใด

โดยช่องโหว่ถูกค้นพบโดย Lokihardt ซึ่งเป็นแฮ็คเกอร์ชาวเกาหลีใต้(อายุ 22 ปีเท่านั้น)ที่ถือว่าเป็นแฮ็คเกอร์ที่เก่งที่สุดในโลกครับ โดย Lokihardt ได้แจ้งช่องโหว่ดังกล่าวในงาน PwnFest 2016 ที่จัดในเกาหลีใต้ โดยทาง Lokihardt ได้เงินทั้งในส่วนการ exploit Windows Edge $140000 และ VMWare Workstation $150000 ครับ

โดยทาง VMWare จะออก patch ใน version VMWare 12.5.2 และ 8.5.2 ครับ

Source:: Securityaffairs.co