新闻快讯
< >

VMware为关键虚拟机逃逸漏洞发布安全补丁

据报道,VMware针对在最近一次中国黑客大赛中发现的虚拟机(VM)逃逸重要漏洞发布安全补丁。

VMware已为该虚拟机(VM)逃逸重要漏洞(CVE-2018-6981与CVE-2018-6982)发布安全补丁,该漏洞由研究员张焱宇近期在中国GeekPwn2018黑客大赛中发现

 

VMware为关键虚拟机逃逸漏洞发布安全补丁-E安全

这些程序错误是由vmxnet3虚拟网络适配器中未初始化的堆栈内存使用错误导致的。而这些错误仅在vmxnet3适配器允许的情况下才可用 

由VMware发布的通知可知,“VMware ESXi、Fusion与Workstation的vmxnet3虚拟网络适配器中包含未初始化的堆栈内存使用。启用vmxnet3时,该问题会允许虚拟机在宿主机上执行代码。所有的vmxnet3均受此问题影响。” 

虚拟主机可利用漏洞“CVE-2018-6981”在主机上执行任意代码,影响VMware ESXi、Fusion与Workstation产品。而漏洞“CVE-2018-6982”可导致从主机到虚拟机的信息泄露,该漏洞只影响ESXi。 

GeekPwn是由中国公司碁震云计算(Keen Cloud Tech)于2014年在中国发起并举办的知名黑客大赛,且自2017起,该赛事也开始在美国举行。 

最新赛事GeekPwn2018于10月24与25日在上海举行,主办方提供总额80万美元的奖池。今年,一名中国的研究员发现一个虚拟机到宿主机的逃逸漏洞,该漏洞与其他小问题一起影响多个VMware产品。 

该漏洞非常重要,因为这是专家首次成功尝试逃逸VMwareESXi,并在宿主系统中获取root shell

VMware为关键虚拟机逃逸漏洞发布安全补丁-E安全


该虚拟化软件巨头已为这两个漏洞发布补丁与更新。


E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号j871798128②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站户网站户网站www.easyaq.com , 查 , 查 , 查看更多精彩内容。