Сайт кампаніі VMware утрымоўвае ўразлівасць, якая дазваляе зламыснікам атрымаць асабістыя дадзеныя падпісантаў кампаніі. У Full-Disclosure з'явілася інфармацыя аб тым, што функцыянал рэдагавання падпіскі на паштовыя апавяшчэнні на сайце VMWare утрымоўвае ўразлівасць, якая дазваляе зламыснікам атрымаць доступ да асабістых дадзеных падпісантаў. Уразлівасць існуе з-за таго, што прыкладанне не вырабляе дастатковую аўтэнтыфікацыю (CWE-287) пры праверцы сапраўднасці падпісанта. Для таго, каб атрымаць доступ да асабістых дадзеных падпісантаў, неабходна ведаць толькі іх email адрасы. Атрыманне доступу да асабістых дадзеных карыстача ажыццяўляецца праз форму на старонцы: http://info.vmware.com/content/opt-out?elq=[UNIQUE ID] дзе UNIQUE ID – павінен быў быць сакрэтны ідэнтыфікатар падпіскі. Але гэтае значэнне нідзе не правяраецца. Зламыснікі могуць займець доступ да наступнай інфармацыі: імя і прозвішча падпісанта, назоў кампаніі, краіна, працоўны email, нумар тэлефона, адрас. Калі вы з'яўляецеся падпісантам кампаніі VMware і паказалі рэальныя дадзеныя аб сабе, SecurityLab рэкамендуе іх змяніць у найкароткія тэрміны.
рэкамендуем прачытаць таксама
- ICL-КПО ВС правяла круглы стол “Бяспечны віртуальны ЦОД”
- VMware паглынае Open Source-кампанію Zimbra у Yahoo!
- Бясплатнае прыкладанне VMware дазваляе кіраваць Windows з iPad
- Выйшла другая версія праграмнага забеспячэння для віртуалізацыі VMware Fusion
- Кампанія VMware далучылася да арганізацыі Linux Foundation