VMware 修復(fù) 4 個(gè)“關(guān)鍵”漏洞：破壞力極大！

　　系統(tǒng)之家 3 月 7 日消息，VMware 發(fā)布安全更新，修復(fù) VMware ESXi、Workstation、Fusion 和 Cloud Foundation 產(chǎn)品中的沙箱逃逸漏洞，攻擊者可以逃逸虛擬機(jī)并訪問(wèn)主機(jī)操作系統(tǒng)。該公告概述了四個(gè)漏洞，分別跟蹤為 CVE-2024-22252、CVE-2024-22253、CVE-2024-22254 和 CVE-2024-22255，CVSS v3 分值從 7.1 到 9.3 不等，但都達(dá)到了“關(guān)鍵”等級(jí)。這類漏洞通常來(lái)說(shuō)破壞力很大，攻擊者一旦成功利用這些漏洞，可以在未經(jīng)用戶授權(quán)的情況下訪問(wèn)安裝了管理程序的主機(jī)系統(tǒng)，或訪問(wèn)在同一主機(jī)上運(yùn)行的其他虛擬機(jī)。

　　CVE-2024-22252 和 CVE-2024-22253：

　　XHCI 和 UHCI USB 控制器（分別）中的 Use-after free 漏洞，影響 Workstation / Fusion 和 ESXi。

　　利用漏洞需要虛擬機(jī)的本地管理權(quán)限，在 Workstation 和 Fusion 上，攻擊者可在主機(jī)上以虛擬機(jī)的 VMX 進(jìn)程執(zhí)行代碼。

　　CVE-2024-22254：

　　ESXi 中的 Out-of-bounds 漏洞，允許擁有 VMX 進(jìn)程權(quán)限的攻擊者在預(yù)定內(nèi)存區(qū)域（邊界）外寫入，可能導(dǎo)致沙箱逃逸。

　　CVE-2024-22255：

　　影響 ESXi、Workstation 和 Fusion 的 UHCI USB 控制器中的信息泄露問(wèn)題。

　　下表列出了受影響的版本產(chǎn)品和修復(fù)版本：

　　系統(tǒng)之家從報(bào)道中獲悉，緩解 CVE-2024-22252、CVE-2024-22253 和 CVE-2024-22255 的實(shí)用變通方法是按照供應(yīng)商提供的說(shuō)明從虛擬機(jī)中移除 USB 控制器。請(qǐng)注意，這可能會(huì)影響某些配置中鍵盤、鼠標(biāo)和 USB 盤的連接。

　　以上是系統(tǒng)之家提供的最新資訊，感謝您的閱讀，更多精彩內(nèi)容請(qǐng)關(guān)注系統(tǒng)之家官網(wǎng)。