據(jù)外媒報道,網(wǎng)絡(luò)安全公司 Comixuris UG 研究人員 Nico Golde 與 Ralf-Philipp Weinmann 于今年 6 月發(fā)現(xiàn)全球虛擬化軟件研發(fā)與銷售企業(yè) VMware 的 ESXi、vCenter 服務(wù)器、Workstation 與 Fusion 產(chǎn)品中存在多處漏洞,允許攻擊者在獲取用戶低等特權(quán)時執(zhí)行任意代碼。近期,VMware 研究人員在線發(fā)布漏洞補丁修復程序。
調(diào)查顯示,上述產(chǎn)品漏洞中最為嚴重的一處與 SVGA 設(shè)備的越界寫入有關(guān),其編號為 CVE-2017-4924( CVSS 分值為 6.2)。SVGA 是一臺由 VMware 虛擬化產(chǎn)品實現(xiàn)舊版虛擬圖像顯卡儀器,而該漏洞允許攻擊者在 SVGA 主機上執(zhí)行任意代碼。目前,OS X 上的 ESXi 6.5、Workstation 12.x 與 Fusion 8.x 產(chǎn)品普遍遭受影響。
研究人員發(fā)布的第二處漏洞(CVE-2017-4925)被列為中等危害,其主要影響 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本與 Fusion 8.x 版本。值得注意的是,具有正常用戶權(quán)限的攻擊者可以利用此漏洞破壞其虛擬機設(shè)備。
第三處漏洞(CVE-2017-4926)也被列為中等危害,允許具有 VC 用戶權(quán)限的攻擊者可以在其他用戶訪問 XSS 頁面時執(zhí)行惡意 JavaScript 代碼。不過,研究人員發(fā)現(xiàn)該漏洞僅影響 vCenter Server H5 6.5 版本的客戶端設(shè)備。