全球虛拟化軟件企業VMware在線發布多處漏洞補丁修複程序

發布日期:2017-09-19首頁 > 安全資(zī)訊

全球虛拟化軟件企業VMware在線發布多處漏洞補丁修複程序-E安全

據外(wài)媒報道,網絡安全公司 Comixuris UG 研究人員(yuán) Nico Golde 與 Ralf-Philipp Weinmann 于今年 6 月發現全球虛拟化軟件研發與銷售企業 VMware 的 ESXi、vCenter 服務器、Workstation 與 Fusion 産品中(zhōng)存在多處漏洞,允許攻擊者在獲取用戶低等特權時執行任意代碼。近期,VMware 研究人員(yuán)在線發布漏洞補丁修複程序。

調查顯示,上述産品漏洞中(zhōng)最爲嚴重的一(yī)處與 SVGA 設備的越界寫入有關,其編号爲 CVE-2017-4924( CVSS 分(fēn)值爲 6.2)。SVGA 是一(yī)台由 VMware 虛拟化産品實現舊(jiù)版虛拟圖像顯卡儀器,而該漏洞允許攻擊者在 SVGA 主機上執行任意代碼。目前,OS X 上的 ESXi 6.5、Workstation 12.x 與 Fusion 8.x 産品普遍遭受影響。

研究人員(yuán)發布的第二處漏洞(CVE-2017-4925)被列爲中(zhōng)等危害,其主要影響 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本與 Fusion 8.x 版本。值得注意的是,具有正常用戶權限的攻擊者可以利用此漏洞破壞其虛拟機設備。

第三處漏洞(CVE-2017-4926)也被列爲中(zhōng)等危害,允許具有 VC 用戶權限的攻擊者可以在其他用戶訪問 XSS 頁面時執行惡意 JavaScript 代碼。不過,研究人員(yuán)發現該漏洞僅影響 vCenter Server H5 6.5 版本的客戶端設備。