Af Eskil Sørensen, 24/06/21
VMware har rettet en fejl i VMware Tools til Windows, som angribere kunne udnytte til at udføre vilkårlig kode med forhøjede privilegier. Det skriver Bleeping Computer.
Fejlen har CVE-nummeret 2021-21999, og med en CVSS-score på 7,8 anses den for at være kritisk.
Det fremgår af VMwares advisory, at man med en normal adgang til en virtuel maskine kan udnytte sårbarheden ved at placere en ondsindet fil omdøbt til 'openssl.cnf' i et bibliotek uden begrænsninger. Dette vil gøre det muligt at afvikle kode med forhøjede privilegier.
Problemet påvirker også VMware Remote Console (VMRC) til Windows og VMware App Volumes.
VMware har rettet fejlen med udgivelsen af af Tools til Windows 11.2.6, VMRC til Windows 12.0.1 og App Volumes 4 release 2103 / App Volumes 2.18.10.