5月14日VMware發布資安公告,指出旗下的虛擬化平臺VMware Workstation、Fusion存在4項漏洞,他們發布VMware Workstation 17.5.2、Fusion 13.5.2予以修補。
這些漏洞當中,最嚴重的是評為重大層級的CVE-2024-22267,從虛擬藍牙裝置元件(vbluetooth)發現,為記憶體釋放後又再存取使用(Use After Free)的漏洞,攻擊者一旦取得本機管理員權限,就有機會對虛擬機器利用這項漏洞,藉由主機上的VMX處理程序,在虛擬機器上執行程式碼,CVSS風險評分為9.3。
另外3個漏洞CVE-2024-22268、CVE-2024-22269、CVE-2024-22270,危險程度皆為高風險層級,其中,CVE-2024-22269、CVE-2024-22270為資訊洩露漏洞,分別存在於虛擬藍牙裝置,以及主機與虛機機器的檔案共用系統(Host Guest File System,HGFS)。至於CVE-2024-22268,則是與Shader的元件有關,為記憶體緩衝區溢位漏洞。而這些漏洞的CVSS風險評分,皆為7.1分。
值得一提的是,以上所有漏洞都是透過趨勢科技旗下的漏洞懸賞專案Zero Day Initiative向VMware通報,除了CVE-2024-22268,其餘皆來自漏洞挖掘競賽Pwn2Own Vancouver 2024,由資安業者Theori、Star Labs SG組成的隊伍發現。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19
Advertisement