مهاجم میتواند با ترغیب کاربر برای کلیک بر یک پیوند مخرب از آسیبپذیری XSS سوءاستفاده کند.
VMWare هفتهی گذشته با انتشار تعداد زیادی وصلههای امنیتی که یکی از آنها آسیبپذیری XSS در یکی از سکوهای مجازیسازی را وصله میکند، منتشر کرد.
تکنـــــــــــــــــــازدانلود :آسیبپذیری XSS با شناسهی CVE-2014-3797 توسط محقق امنیتی به نام Tanya Secker کشف شده است، که در کارگزار vCenter قرار دارد و و مهاجم میتواند با ترغیب کاربر برای کلیک بر یک پیوند مخرب از آن سوءاستفاده کند.
آسیبپذیری دیگری با شناسهی CVE-2014-8371 توسط محققان گوگل کشف شده است و مهاجم در صورت سوءاستفاده از این آسیبپذیری میتواند حملات مردمیانی علیه زیرساخت Common Information Model ایجاد کند. درواقع مشکل اصلی این است که vCenter قبل از ارائهی بهروزرسانی های هفتهی گذشته، در هنگام اتصال به کارگزارهای CIM نمیتوانست بهدرستی گواهینامههای دیجیتال را اعتبارسنجی کند.
به گزارش asis , همچنین ۶ آسیبپذیری دیگر با شناسهی CVE مربوط به ۳ کتابخانهی شخص ثالث ESXi نیز وصله شده است. بهروزرسانیهای اخیر همچنین منجر به دریافت وصلههای امنیتی جاوا که بهتازگی عرضه شده است نیز میشود، از آنجایی که نسخهی این کتابخانه در محصولات مختلف متفاوت است، وصلههای امنیتی برای نسخهی ۵٫۱ از کتابخانهی ESXi موجود است، برای آخرین نسخه یعنی نسخهی ۵٫۵ بهروزرسانیها عرضه نمیشوند و برای نسخههای قدیمیتر از ۵ بهزودی وصلههای امنیتی منتشر خواه شد.
VMWare به کاربران خصوصاً کاربران نسخههای کارگزار توصیه کرده است وصلههای امنیتی و هشدار های منتشرشده را مطالعه کنند و مطمئن باشند که محصولات آنها آسیبپذیر نیست و وصلههای امنیتی را دریافت کردهاند.