وصله‌ی آسیب‌پذیری XSS در VMWare

مهاجم می‌تواند با ترغیب کاربر برای کلیک بر یک پیوند مخرب از آسیب‌پذیری XSS سوء‌استفاده کند.

VMWare هفته‌ی گذشته با انتشار تعداد زیادی وصله‌های امنیتی که یکی از آن‌ها آسیب‌پذیری XSS در یکی از سکوهای مجازی‌سازی را وصله می‌کند، منتشر کرد.

تکنـــــــــــــــــــازدانلود :آسیب‌پذیری XSS با شناسه‌ی CVE-2014-3797 توسط محقق امنیتی به نام Tanya Secker کشف شده است، که در کارگزار vCenter قرار دارد و و مهاجم می‌تواند با ترغیب کاربر برای کلیک بر یک پیوند مخرب از آن سوء‌استفاده کند.

آسیب‌پذیری دیگری با شناسه‌ی CVE-2014-8371 توسط محققان گوگل کشف شده است و مهاجم در صورت سوء‌استفاده از این آسیب‌پذیری می‌تواند حملات مردمیانی علیه زیرساخت Common Information Model ایجاد کند. درواقع مشکل اصلی این است که vCenter قبل از ارائه‌ی به‌روز‌رسانی های هفته‌ی گذشته، در هنگام اتصال به کارگزار‌های CIM نمی‌توانست به‌درستی گواهی‌نامه‌های دیجیتال را اعتبارسنجی کند.

به گزارش asis , هم‌چنین ۶ آسیب‌پذیری دیگر با شناسه‌ی CVE مربوط به ۳ کتابخانه‌ی شخص ثالث ESXi نیز وصله شده است. به‌روزرسانی‌های اخیر هم‌چنین منجر به دریافت وصله‌های امنیتی جاوا که به‌تازگی عرضه شده است نیز می‌شود، از آن‌جایی که نسخه‌ی این کتابخانه در محصولات مختلف متفاوت است، وصله‌های امنیتی برای نسخه‌ی ۵٫۱ از کتابخانه‌ی ESXi موجود است، برای آخرین نسخه یعنی نسخه‌ی ۵٫۵ به‌روز‌رسانی‌ها عرضه نمی‌شوند و برای نسخه‌های قدیمی‌تر از ۵ به‌زودی وصله‌های امنیتی منتشر خواه شد.

 VMWare به کاربران خصوصاً کاربران نسخه‌های کارگزار توصیه کرده است وصله‌های امنیتی و هشدار های منتشرشده را مطالعه کنند و مطمئن باشند که محصولات آن‌ها آسیب‌پذیر نیست و وصله‌های امنیتی را دریافت کرده‌اند.