Broadcom, שמנהלת היום את מוצרי VMware, פרסמה באמצע מאי תיקון לפגיעות ב-VMware Fusion, תוכנת הווירטואליזציה הפופולרית למחשבי Mac. הפגיעות מסומנת CVE-2026-41702, קיבלה ציון 7.8, ומאפשרת למשתמש מקומי עם הרשאות רגילות להסלים את עצמו ל-root.
הבעיה היא מסוג TOCTOU, ראשי תיבות של Time-of-Check Time-of-Use. בקצרה, זו פגיעות שמנצלת את פער הזמן הקטן בין הרגע שבו המערכת בודקת תנאי לבין הרגע שבו היא פועלת לפיו. בינארי שרץ עם הרשאות מוגברות בודק קובץ, ובחלון הזמן הצר הזה תוקף מחליף אותו בקובץ אחר, וכך מצליח לבצע פעולות בהרשאות root.
למה לארגון אכפת ממחשב Mac אחד
השאלה הטבעית היא מה מפריע בכך שמשתמש שכבר יושב פיזית מול המחשב יקבל root. התשובה היא ששרשרות תקיפה מודרניות כמעט אף פעם לא מתחילות עם הרשאות root. הן מתחילות בדריסת רגל קטנה, אולי דרך אפליקציה פגיעה או חשבון מפותח שנגנב, ומשם משתמשות בפגיעויות הסלמה בדיוק כמו זו כדי להשתלט על כל המכונה. במחשב של עובד שמריץ מכונות וירטואליות לפיתוח או לבדיקות, זה ההבדל בין אירוע מקומי לבין השתלטות מלאה על תחנת קצה.
מה לעשות
כאן אין פתרון ביניים. Broadcom ציינה שאין workaround, והדרך היחידה היא לעדכן את VMware Fusion לגרסה 26H1 שבה התיקון הוטמע. ארגונים צריכים לעבור על כל מחשבי ה-Mac שמריצים Fusion ולדחוף את העדכון בלי דיחוי.
זו עוד דוגמה לכך שמחשבי Apple בארגון הם לא אי שקט שמנהל את עצמו. כתבנו על זה ברוחב יותר במאמר על עדכון macOS Tahoe ולמה ניהול מכשירי Apple בעבודה הוא עניין ארגוני. אם אתם מנהלים צי מחשבי Mac בלי MDM ובלי מדיניות עדכונים מסודרת, דברו איתנו ונבנה לכם תהליך שמכסה בדיוק מקרים כאלה.