全球虛擬化軟件企業(yè)VMware在線發(fā)布多處漏洞補丁修復程序

責任編輯:editor004

2017-09-19 11:21:22

摘自:E安全

研究人員發(fā)布的第二處漏洞(CVE-2017-4925)被列為中等危害,其主要影響 OS X 上的 ESXi 5 5、6 0、6 5 版本、Workstation 12 x 版本與 Fusion 8 x 版本。

據(jù)外媒報道,網(wǎng)絡(luò)安全公司 Comixuris UG 研究人員 Nico Golde 與 Ralf-Philipp Weinmann 于今年 6 月發(fā)現(xiàn)全球虛擬化軟件研發(fā)與銷售企業(yè) VMware 的 ESXi、vCenter 服務(wù)器、Workstation 與 Fusion 產(chǎn)品中存在多處漏洞,允許攻擊者在獲取用戶低等特權(quán)時執(zhí)行任意代碼。近期,VMware 研究人員在線發(fā)布漏洞補丁修復程序。

調(diào)查顯示,上述產(chǎn)品漏洞中最為嚴重的一處與 SVGA 設(shè)備的越界寫入有關(guān),其編號為 CVE-2017-4924( CVSS 分值為 6.2)。SVGA 是一臺由 VMware 虛擬化產(chǎn)品實現(xiàn)舊版虛擬圖像顯卡儀器,而該漏洞允許攻擊者在 SVGA 主機上執(zhí)行任意代碼。目前,OS X 上的 ESXi 6.5、Workstation 12.x 與 Fusion 8.x 產(chǎn)品普遍遭受影響。

研究人員發(fā)布的第二處漏洞(CVE-2017-4925)被列為中等危害,其主要影響 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本與 Fusion 8.x 版本。值得注意的是,具有正常用戶權(quán)限的攻擊者可以利用此漏洞破壞其虛擬機設(shè)備。

第三處漏洞(CVE-2017-4926)也被列為中等危害,允許具有 VC 用戶權(quán)限的攻擊者可以在其他用戶訪問 XSS 頁面時執(zhí)行惡意 JavaScript 代碼。不過,研究人員發(fā)現(xiàn)該漏洞僅影響 vCenter Server H5 6.5 版本的客戶端設(shè)備。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號