
CVE-2022-31705: отчет об уязвимости Bridged Creek
20 декабря 2022 г.Bridged Creek был обнаружен на GeekPwn 2022 пользователем Юхао Цзян из лаборатории безопасности Light-Year компании Any Group. 13 декабря 2022 г. VMWare объявила об этом советом по безопасности VMSA-2022-0033. от 13 декабря 2022 года и назначена как CVE-2022. -31705 14 декабря 2022 г.
Уязвимость получила главный приз на конкурсе, организованном Keen Security Lab компании Tencent. из ряда критических уязвимостей, устраненных в одном и том же обновлении безопасности от VMWare.
Вулноним: Бриджд-Крик сильный>
Номер CVE: CVE-2022-31705сильный>
Номер CWE: CWE-787
Каков масштаб уязвимости?
VMWare ESXi 7 & 8, VMWare Workstation 16 и VMWare Fusion 12 в OS X.
Фиксированные версии: ESXi80a-20842819, ESXi7OU3si-20841705, Workstation 16.2.5 и Fusion 12.2.5.
Какое влияние?
Эта уязвимость позволяет избежать выхода из виртуальной машины. Это означает, что пользователь с правами локального администратора гостевой виртуальной машины может использовать ее для выполнения кода на хост-машине в качестве процесса VMX виртуальной машины.
При использовании ESXi воздействие эксплойта ограничено, поскольку оно содержится в изолированной программной среде VMX, в то время как на рабочих станциях и Fusion выполнение кода может быть возможно.
В чем угроза?
Общественное доказательство концепции или версии эксплойта недоступно, и не было никаких признаков эксплуатации в дикой природе. Требование локальных административных привилегий на гостевой машине ограничивает потенциальных злоумышленников, хотя уязвимость позволяет потенциально выйти из песочницы в качестве продолжения первоначальной компрометации или атаки с повышением привилегий на виртуальную машину.
Какое смягчение?
Учитывая характер проблемы, не существует способов ее устранения или временного решения. Если у злоумышленника есть права локального администратора, он потенциально может воспользоваться этой уязвимостью.
Что исправить?
VMWare выпустила обновления безопасности для всех уязвимых продуктов, которые следует применять в соответствии с их . консультативный.
В чем слабость?
CWE-787 — общая слабость многих связанных с памятью ошибок и относится к записи за пределами границ. Это означает, что исполняемое программное обеспечение может выполнять запись в память, которая ему не назначена. Это чаще всего встречается в программном обеспечении, разработанном на низкоуровневых языках с прямым доступом к памяти.
Предотвращение может включать в себя использование языков, которые самостоятельно управляют памятью, или включать защиту от переполнения по умолчанию (обратите внимание, что обычно это может быть отключено программистом). Другие решения могут помочь предотвратить аналогичные уязвимости, но полных решений немного из-за разнообразия недостатков.
Подробности
https://www.youtube.com/watch?v=qL2CxfNUMeg?embedable=true а>
Побеги виртуальных машин часто считаются серьезными уязвимостями из-за потенциального воздействия на хост-компьютеры и других гостей. В данном случае уязвимость серьезная, с ограниченным числом вариантов использования, в которых она может быть использована. Злоумышленнику либо необходимо предоставить доступ локального администратора к виртуальной машине, либо он уже скомпрометировал гостевую систему, прежде чем использовать ее для выполнения кода на хосте.
Оригинал
Recent Post
-
Список друзей Venmo разоблачил консультанта по безопасности США - и это может случиться с вами
11 июля 2025 г. -
INE Security запускает улучшенную сертификацию EMAPT
11 июля 2025 г. -
Успех стартапа в настоящее время спроектирован невидимыми технологами
11 июля 2025 г. -
Письмо к открытому ключу: переосмысление адреса электронной почты
11 июля 2025 г. -
Устали от превышения инструментов http? Попробуйте Cyberpost вместо этого
10 июля 2025 г.
Categories
- Python
- blockchain
- web
- hackernoon
- вычисления
- вычислительные компоненты
- цифровой дом
- игры
- аудио
- домашний кинотеатр
- Интернет
- Мобильные вычисления
- сеть
- фотосъемка видео
- портативные устройства
- программного обеспечения
- телефон и связь
- телевидение
- видео
- мир технологий
- умные гиды
- облако
- искусственный интеллект
- се
- Samsung
- умные города
- digitaltrends
- отели
- Startups
- Venture
- Crypto
- Apps
- безопасность
- техника и работа
- cxo
- мобильность
- разработчик
- 5г
- майкрософт
- инновации
- Права и свободы
- Законодательство и право
- Политика и общество
- Космическая промышленность
- Информационные технологии
- Технологии
- Образование
- Научные исследования
- Автомобильная промышленность
- Программная инженерия
- IT и технологии
- Веб-разработка
- Программирование
- Автоматизация
- Карьерный рост
- Программирование и анализ данных
- Трудоустройство
- Политика
- Искусственный интеллект
- ИТ-технологии
- Программное обеспечение
- Экологическая политика
- Образование и рынок труда
- Политика и право
- Microsoft Teams и SharePoint
- Информационная безопасность
- Кибербезопасность
- Налоги
- Образование и карьера
- Интернет и технологии
- Технологии, Государственные услуги
- Политика и технологии
- Разработка программного обеспечения
- Разработка ПО
- Машинное обучение
- Налогообложение, технологии, открытый исходный код
- Финансы и налоги
- Технологии, Интернет, Экология
- Интернет, безопасность
- Технологии и политика
- Операционные системы
- Профессиональная разработка
- Технологии, Безопасность
- Интернет и общество
- Финансовая индустрия
- Налоговый учёт
- Общественное здравоохранение
- Технологическая отрасль
- Юриспруденция
- Технологии и государство
- Здоровье и фитнес
- IT-инфраструктура
- Технологии и ИИ
- Здравоохранение
- IT
- Технологии, Экономика
- Музыка и технологии
- Здоровье и питание
- IT и безопасность
- Бизнес и предпринимательство
- Технологии, Программное обеспечение
- Технологии и инновации
- Технологии, данные, этика
- Технологии и Интернет
- Технологии и SaaS
- Медицина и здравоохранение
- Онлайн-видеосервисы
- Финансы и технологии
- Чтение и саморазвитие
- Экономика и бизнес
- Безопасность данных
- Удаленная работа
- Авиация и технологии
- Технологии, Игры
- Энергетика
- Социальные сети, безопасность, технологии
- Саморазвитие
- Безопасность информации
- Бизнес и карьера
- Технологии и отношения
- Игровая индустрия
- Компьютерная индустрия
- Математика, Искусственный интеллект
- Наука и технологии
- Технологии и безопасность
- Технологии, Удаленная работа, Бизнес
- Видеоигры
- Технологии, Искусственный интеллект, Этика
- Технологии, социальные сети, 6G
- Технологии, Программирование, AI, Разработка ПО
- Программирование, Разработка ПО, Технологии
- Животные
- Технологии, Искусственный интеллект
- Программирование, карьера, технологии, обучение
- Бизнес и технологии
- Технологии, Безопасность данных
- Астрономия и физика
- Продуктивность, личное развитие
- Медиа и Технологии
- Программирование и Искусственный Интеллект
- Социальные сети
- Политика и экономика
- Технологии, Медицина, Искусственный интеллект
- Технологии и управление
- Космос и астрономия
- Общество и политика
- Космические исследования
- Веб-дизайн
- Искусственный интеллект и безопасность данных
- Технологии, Безопасность, Конфиденциальность
- Экологическая проблема
- Технологии, Погода
- Авиация
- Транспортная сфера
- Технологии и бизнес
- Игровая промышленность
- Телевидение и реклама
- Аналитика данных
- Технологии и кибербезопасность
- Маркетинг
- Технологии и гаджеты
- Технологии, Авиация, Инновации
- Финансы и инвестиции
- Технологии и общество
- Рыночный анализ
- Космология
- Данные и бизнес
- IT и программирование
- Технологии и право
- Программирование и разработка
- Медицинские технологии
- Авиационная промышленность
- Технологии и искусственный интеллект
- Генетическая инженерия
- Бизнес и инвестиции
- Компьютерная промышленность
- Психология и социология
- Образование и технологии
- Рынок труда
- Технологии, Стартапы
- Технологии, Приватность, Чтение
- Маркетинг и продажи
- Виртуальная реальность
- Технологии, Смартфоны, Маркетинг
- Технологии, Бизнес, Личностный рост
- Экологические проблемы
- Экономика и технологии
- IT и карьера
- Интернет и безопасность
- Разработка и технологии
- Биотехнологии
- Интернет-магазины, кибербезопасность
- Финансы
- Безопасность и технологии
- Экономика
- Защита данных
- Data Science
- Карьера и работа
- Финансовый успех, мошенничество, маркетинг
- Безопасность
- Экология
- Космическая индустрия
- Программирование, Python, Обучение
- Технологии искусственного интеллекта
- Технологии, Дизайн, iOS
- Программирование, DevOps, Kubernetes
- Социальные сети и пропаганда
- Корпоративная этика
- Управление IT-инфраструктурой
- Здоровье и медицина
- Медицина
- Медицинская промышленность
- Разработка и дизайн
- Искусственный интеллект, Диагностика систем
- Образование и психология
- Технологии, Автомобильная промышленность
- Автомобили и путешествия
- Астрономия и космология
- Программирование и технологии
- IT, работа в офисе, эмоциональный интеллект
- Компьютерная техника
- Здоровье и благополучие
- Управление персоналом
- Политика и управление
- Бизнес и экономика
- Социальные сети, Пропаганда, Информационная безопасность
- Технологии и автоматизация
- Геймдизайн
- Экология и технологии
- CRM-системы, IT-инфраструктура
- Права человека
- Цифровая цензура, свобода слова, технологии
- Технологии, Искусственный интеллект, Работа
- Наука о данных
- Астрономия, Наука
- Интернет и цифровые технологии
- Технологии, управление
- Интернет и связь
- Технологии и конфиденциальность
- Интернет и свобода слова
- Психология и социальные науки
- Книги и литература
- Работа и карьера
- Финансовые технологии
- Психология и саморазвитие
- IT, программирование, сети
- Технологии, Видеоигры
- Экология и энергетика
- Космонавтика
- Медицина и технологии
- Игры и развлечения
- Музыкальная индустрия
- Логистика и складирование
- Бизнес и финансы
- Экология и окружающая среда
- Правозащита
- Социальные сети и дезинформация
- Технологии и рынок труда
- Технологии, Искусственный интеллект, Рынок труда
- Технологии и будущее
- Медицина и здоровье
- Социальные медиа
- Экология, политика, общество
- Экономика и Финансы
- Разработка игр
- Пропаганда и дезинформация
- Медицинские исследования
- Онлайн-знакомства
- Политика и СМИ
- Энергетика и электромобили
- Климатические изменения
- Технологии, Рынок труда
- IT и управление данными
- Безопасность и кибербезопасность
- Интернет-технологии
- Психология и личностное развитие
- Технологии, Мессенджеры
- Цифровые технологии
- Здоровье и самосовершенствование
- Технологии и AI
- Технологии и спорт
- IT, Разработка программного обеспечения
- Экология и климат
- Космос и технологии
- Юридическая сфера
- Безопасность в интернете
- Программирование, Искусственный Интеллект, Качество ПО
- Технологии и мессенджеры
- Социальная справедливость
- Технологическая индустрия
- Личностное развитие, Time-менеджмент, Психология
- Бизнес и менеджмент
- Технологии, Микросхемы, Автономные системы
- Фриланс и предпринимательство
- Социальные сети и искусственный интеллект