VMSA-2018-0027 – VMware ESXi, Workstation, and Fusion updates address uninitialized stack memory usage.

VMware ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยระดับวิกฤติหลังจากทีมผู้เชี่ยวชาญด้านความปลอดภัยจาก Chaitin Tech ได้มีการเปิดเผยช่องโหว่ในการแข่งขันด้านความปลอดภัย GeekPwn ซึ่งหนึ่งในช่องโหว่ด้านความปลอดภัยนั้นส่งผลให้ผู้โจมตีสามารถรันโปรแกรม "ทะลุ" เทคโนโลยี virtualization และเข้าถึงข้อมูลบนระบบ Host ได้

สำหรับรายละเอียดเกี่ยวกับช่องโหว่นั้น ช่องโหว่รหัส CVE-2018-6981 ส่งผลกระทบต่อ ESXi, Fusion และ Workstaion ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายในเครื่อง Host ได้ ส่วนช่องโหว่ CVE-2018-6982 ซึ่งส่งผลกระทบเฉพาะกับ ESXi ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลข้อมูลในเครื่อง Host จากในเครื่อง Guest ได้ โดยทั้งสองช่องโหว่เกิดจากปัญหาด้านความปลอดภัยในระดับหน่วยความจำซึ่งมีการใช้ network adapter "vmxnet3" ซึ่งจะต้องมีการใช้งานอยู่เท่านั้นถึงจะเกิดความเสี่ยง

ความเสี่ยงของสองช่องโหว่นี้อาจส่งผลต่อระบบ virtualization ซึ่งใช้ผลิตภัณฑ์ของ VMware และมีการใช้งานร่วมกันเป็นจำนวนมาก ซึ่งหากมีการเปิดเผยโค้ดของช่องโหว่ออกมา ผู้ใช้งานทั่วไปสามารถเข้าถึงระบบ Host และใช้ระบบ Host เพื่อโจมตีระบบ Guest อื่นๆ ที่แชร์ไว้ร่วมกันได้ทันที

โดย VMware ESXI รุ่น 6.0, 6.5 และ 6.7, VMware Workstaion รุ่น 14.x และ 15.x และ VMware Fusion รุ่น 10.x และ 11.x

ผู้ใช้งานผลิตภัณฑ์ของ VMWare สามารถทำการอัปเดตได้โดยใช้ฟีเจอร์อัปเดตของซอฟต์แวร์ และสามารถดูข้อมูลเพิ่มเติมของแพตช์และวิธีการอัปเดตได้ที่ https://www.