Pwn2Own vulnerabilities Apple and VMware
Pwn2Own vulnerabilities Apple and VMware
VMWare heeft beveiligingsupdates uitgebracht voor vier beveiligingslekken. Apple heeft ook een zero-day kwetsbaarheid in hun Safari webbrowser gepatcht. De kwetsbaarheden werden misbruikt tijdens de Pwn2Own hackwedstrijd.
VMware samenvatting:
CVE-2024-22267, 9.3 (Kritiek) CVSS 3.0: dit is opgericht door STAR Labs SG en Theori teams. VMware verklaart: “Een kwaadwillende actor met lokale beheerdersrechten op een virtuele machine kan dit probleem misbruiken om code uit te voeren als het VMX-proces van de virtuele machine dat op de host wordt uitgevoerd.”
CVE-2024-22269, 7.1 (Hoog) CVSS3.0: “Een kwaadwillende actor met lokale beheerdersrechten op een virtuele machine kan bevoorrechte informatie in het hypervisor-geheugen van een virtuele machine lezen.”
CVE-2024-22270, 7.1 (Hoog) CVSS3.0: “Een kwaadwillende actor met lokale beheerdersrechten op een virtuele machine kan bevoorrechte informatie in het hypervisor-geheugen van een virtuele machine lezen.”
Betreffende producten VMware
- VMware-werkstation 17.X
- VMware fusie 13.X
Beveiligingsaanbevelingen VMware
VMware heeft versie Workstation 17.5.2 en Fusion 13.5.2 uitgebracht om deze kwetsbaarheden te verhelpen. Voor CVE-2024-22267 is de workaround KB91760 beschikbaar, voor CVE-2024-22268 de workaround KB59146 en voor CVE-2024-22269 de workaround KB91760. Voor CVE-2024-22270 wordt geen workaround geboden, alleen door de nieuwe versie toe te passen kan de kwetsbaarheid worden verholpen.
Samenvatting Apple:
CVE-2024-27834, 9.1 (Kritiek) CVSS3.0: “Een aanvaller met arbitraire lees- en schrijfmogelijkheden kan mogelijk de Pointer Authentication omzeilen.” De Pointer Authentication-codes worden gebruikt in de arm64e-architectuur en zijn bedoeld om onverwachte wijzigingen in pointers in het geheugen te detecteren. Deze onverwachte wijzigingen van aanwijzers veroorzaken crashes van apps die resulteren in geheugencorruptie gekoppeld aan authenticatiefouten.
Betreffende producten Apple:
- iOS >17.5
- iPadOS >17.5
- tvOS >17.5
- Safari >17.5
- watchOS >10.5
- macOS >14.5
Beveiligingsaanbevelingen Apple
Apple heeft updates uitgebracht voor hun besturingssysteem in de volgende versies:
- iOS 17.5
- iPadOS 17.5
- tvOS 17.5
- Safari 17.5
- watchOS 10.5
- macOS 14.5