TM_276

10 3|5|2023 #276 Της Αφροδίτης Μπαλίδου Της Αφροδίτης Μπαλίδου Η VMware π ροχώρησε σε ενημερώσεις για την επίλυση ελαττωμάτων ασφαλείας που επηρεάζουν το Workstation και το λογισμι- κό Fusion. Οι εν λόγω ενημερώσεις στοχεύ- ουν στην αντιμετώπιση κρίσιμων ευπαθει- ών, όπως η CVE-2023-20869 (βαθμολογία CVSS: 9.3). «Ένας κακόβουλος παράγοντας με τοπικά δικαιώματα διαχείρι- σης σε μια εικονική μηχανή μπορεί να εκμεταλλευτεί αυτό το ζήτημα για να εκτελέσει κώδικα, καθώς η διαδικασία VMX της εικονικής μηχανής εκτελείται στον κεντρικό υπολογιστή», δή- λωσε η εταιρεία. Επιδιορθώθηκε, ακόμη, από τη VMware μια ευπάθεια ανά- γνωσης εκτός ορίων που επηρεάζει το ίδιο χαρακτηριστικό (CVE-2023-20870, βαθμολογία CVSS: 7.1), την οποία «ένας κα- κόβουλος χρήστης με δικαιώματα διαχειριστή θα μπορούσε να καταχραστεί για την ανάγνωση ευαίσθητων πληροφοριών που περιέχονται στη μνήμη hypervisor από μια εικονική μηχανή» σύμφωνα με την εταιρεία. Και οι δύο ευπάθειες επιδείχθηκαν από ερευνητές από τα εργαστήρια STAR την τρίτη ημέρα του διαγωνισμού hacking Pwn2Own που πραγματοποιήθηκε στο Βανκούβερ τον περασμένο μήνα, αποφέροντάς τους ανταμοιβή 80.000 δολαρίων. Η VMware έχει, επίσης, επιλύσει δύο επιπλέ- ον ελλείψεις, οι οποίες περιλαμβάνουν ένα ελάττωμα κλιμάκωσης τοπικών προνομίων (CVE-2023-20871, βαθμολογία CVSS: 7.3) στο Fusion και μια ευπάθεια εκτός ορίων ανάγνωσης/εγγραφής στην εξομοίωση συσκευής SCSI CD/DVD (CVE- 2023-20872, βαθμολογία CVSS: 7,7). Το πρώτο θα μπορούσε να επιτρέψει σε έναν κακόβουλο παράγοντα με πρόσβαση ανάγνωσης/εγ- γραφής στο λειτουργικό σύστημα κεντρικού υπολογιστή να αποκτήσει πρόσβαση root, ενώ το δεύτερο θα μπορούσε να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα. Τα ελαττώματα έχουν αντιμετωπιστεί στην έκδοσηWorkstation 17.0.2 και Fusion έκδοση 13.0.2. Ως προσωρινή λύση για τα CVE- 2023-20869 και CVE-2023-20870, η VMware προτείνει στους χρήστες να απενεργοποιήσουν την υποστήριξη bluetooth στην εικονική μηχανή. Όσον αφορά στον μετριασμό του CVE-2023-20872, συνιστάται από την εταιρεία να αφαιρέσετε τη συσκευή CD/DVD από την εικονική μηχανή ή να ρυθμίσετε τις παραμέτρους της εικονικής μηχανής, ώστε να μην χρησιμοποιεί εικονικό ελεγκτή SCSI. Ενημερώσεις λογισμικών της VMware Την περασμένη εβδομάδα η Apple αποκάλυψε ότι το WWDC23 θα πραγ- ματοποιηθεί στις 5-9 Ιουνίου. Το ετήσιο Παγκόσμιο Συνέδριο Προ- γραμματιστών της Apple χρησιμεύει ως πλατφόρμα της εταιρείας για να ανακοινώνει στο κοινό τις τελευταίες εξελίξεις στα λειτουργικά της συστή- ματα. Εκτός, όμως, από τις συνηθισμέ- νες ενημερώσεις λογισμικού, η Apple σκοπεύει να ανακοινώσει στο WWDC 2023 ένα πολυαναμενόμενο προϊόν. Φέτος, οι πιο πρόσφατες ενημερώσεις για τη σειρά Mac, iPad, Watch και TV της Apple θα μπορούσαν ενδεχομένως να περιλαμβάνουν iOS 17, MacOS 14, iPadOS 17, WatchOS 10 και tvOS 17. Επι- πλέον, την περασμένη άνοιξη, κατατέθη- καν δύο προτάσεις για το "RealityOS", οι οποίες θα μπορούσαν να αναφέρονται στο λογισμικό για τα πολυαναμενό- μενα ακουστικά AR/VR της Apple . Τα ακουστικά της Apple φημολογούνται από το 2017, επομένως η επίσημη απο- κάλυψη έχει καθυστερήσει πολύ. Η εκδήλωση θα έχει δυνατότητα παρα- κολούθησης τόσο διαδικτυακά όσο και αυτοπροσώπως. Η κεντρική ομιλία θα μεταδοθεί διαδικτυακά χωρίς κόστος, ώστε όλοι να έχουν τη δυνατότητα να συμμετάσχουν και να ενημερωθούν για τις πιο πρόσφατες πλατφόρμες, τεχνολο- γίες και εργαλεία της Apple. Ανακοινώθηκε η ημερομηνία τουWWDC23