Broadcom ปล่อยอัปเดตแก้ไขช่องโหว่ที่เสี่ยงถูกยกระดับสิทธิ์ใน VMware Tools for Windows

รายละเอียดช่องโหว่

• รหัสช่องโหว่: CVE-2025-22230
• คะแนนความรุนแรง: 7.8/10 (CVSSv3)
• สาเหตุ: การควบคุมการเข้าถึง (Access Control) ที่ไม่เหมาะสม
• ผลกระทบ: ผู้โจมตีที่มีสิทธิ์ระดับต่ำภายในเครื่องเสมือน (Guest VM) สามารถใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์เป็นระดับสูงได้

ช่องโหว่นี้ส่งผลกระทบโดยตรงกับผู้ใช้งาน VMware Tools for Windows เวอร์ชัน 11.x.x และ 12.x.x และมีความเสี่ยงอย่างยิ่งต่อระบบที่เปิดให้ผู้ใช้งานหรือแอปพลิเคชันเข้าถึง VM ด้วยสิทธิ์ไม่เต็ม

เวอร์ชันที่ปลอดภัย

ผู้ใช้งานควรอัปเดตไปยังเวอร์ชันล่าสุดทันที:

• VMware Tools for Windows 12.5.1

เวอร์ชันนี้ได้รับการยืนยันจาก Broadcom ว่าได้อุดช่องโหว่เป็นที่เรียบร้อยแล้ว

คำแนะนำสำหรับผู้ดูแลระบบ

1. ตรวจสอบเวอร์ชันของ VMware Tools ที่ติดตั้งอยู่ในระบบทุกเครื่องเสมือน
2. ดำเนินการอัปเกรดเป็นเวอร์ชัน 12.5.1 โดยเร็วที่สุด
3. หากยังไม่สามารถอัปเกรดได้ ควรจำกัดสิทธิ์ผู้ใช้งานใน VM ให้มากที่สุด และติดตามข่าวสารจาก Broadcom อย่างใกล้ชิด
4. ปัจจุบันยังไม่มีวิธีแก้ปัญหาชั่วคราว (workaround) ที่ปลอดภัย

แหล่งที่มาและข้อมูลเพิ่มเติม

Broadcom Security Advisory:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518

การอัปเดตความปลอดภัยระบบ Virtualization ไม่ใช่เรื่องเล็ก โดยเฉพาะในสภาพแวดล้อมที่ใช้ VM สำหรับงานสำคัญ เช่น ระบบเซิร์ฟเวอร์ แอปพลิเคชันองค์กร หรือ DevOps การปล่อยให้ช่องโหว่คงอยู่ อาจนำไปสู่การเจาะระบบภายในและสูญเสียข้อมูลที่สำคัญได้