VMware виправила критичну вразливість, що дозволяла гостю ініціювати запуск довільного коду на операційних системах, запущених у віртуальних машинах Workstation та Fusion
VMware виправила критичну вразливість, що дозволяла гостеві ініціювати запуск довільного коду на операційних системах, запущених у віртуальних машинах Workstation та Fusion
VMware виправила критичну вразливість (CVE-2018-6983), що дозволяла «гостю» ініціювати запуск довільного коду на операційних системах, запущених у віртуальних машинах Workstation та Fusion. Процес експлуатації проблеми був продемонстрований спеціалістом компанії Qihoo 360 у рамках змагання Tianfu Cup. За свою працю експерт отримав винагороду в $100 тис.
CVE-2018-6983 є вразливістю цілісного переповнення і зачіпає версії Workstation 14.x і 15.x (працюючі на будь-якій платформі), а також версії Fusion 10.x і 11.x (працюючі в середовищі macOS). 22 листопада виробник випустив патчі, що усувають уразливість.
Крім іншого, в В рамках змагання Tianfu Cup експерти Qihoo 360 продемонстрували метод злому смартфона iPhone X під керуванням операційної системи iOS 12.1. У ході атаки дослідники проексплуатували вразливість у JIT-компіляторі у браузері Safari, а також проблему використання після звільнення в ядрі ОС iOS. Цей експлоїт приніс дослідникам нагороду у $200 тис.