新闻快讯
< >

全球虚拟化软件企业VMware在线发布多处漏洞补丁修复程序

全球虚拟化软件企业VMware在线发布多处漏洞补丁修复程序-E安全

据外媒报道,网络安全公司 Comixuris UG 研究人员 Nico Golde 与 Ralf-Philipp Weinmann 于今年 6 月发现全球虚拟化软件研发与销售企业 VMware 的 ESXi、vCenter 服务器、Workstation 与 Fusion 产品中存在多处漏洞,允许攻击者在获取用户低等特权时执行任意代码。近期,VMware 研究人员在线发布漏洞补丁修复程序。

调查显示,上述产品漏洞中最为严重的一处与 SVGA 设备的越界写入有关,其编号为 CVE-2017-4924( CVSS 分值为 6.2)。SVGA 是一台由 VMware 虚拟化产品实现旧版虚拟图像显卡仪器,而该漏洞允许攻击者在 SVGA 主机上执行任意代码。目前,OS X 上的 ESXi 6.5、Workstation 12.x 与 Fusion 8.x 产品普遍遭受影响。

研究人员发布的第二处漏洞(CVE-2017-4925)被列为中等危害,其主要影响 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本与 Fusion 8.x 版本。值得注意的是,具有正常用户权限的攻击者可以利用此漏洞破坏其虚拟机设备。

第三处漏洞(CVE-2017-4926)也被列为中等危害,允许具有 VC 用户权限的攻击者可以在其他用户访问 XSS 页面时执行恶意 JavaScript 代码。不过,研究人员发现该漏洞仅影响 vCenter Server H5 6.5 版本的客户端设备。

相关阅读:

漏洞收购平台Zerodium启动Tor浏览器漏洞悬赏计划:奖金总额100万美元
漏洞预警:LibOFX标签解析代码执行漏洞CVE-2017-2816
预警:微软零日漏洞CVE-2017-8759已被用于传播恶意软件
42款思科产品或受Apache Struts2远程代码执行漏洞(S2-053)影响
安卓最新奥利奥系统奇葩漏洞:化身流量狂魔,绕过Wi-Fi猛吸用户移动流量

文章来源:hackernews原文地址:http://hackernews.cc/archives/14837