3月4日博通發布資安公告,修補旗下VMware虛擬化軟體ESXi、Workstation、Fusion的零時差漏洞CVE-2025-22224、CVE-2025-22225、CVE-2025-22226,並指出這些漏洞疑似已出現遭到實際利用的跡象。針對這些漏洞,博通都發布了更新軟體,以ESXi為例,該公司對於8.0、7.0版用戶,推出了8.0 Update 3d、Update 2d,以及7.0 Update 3s進行修補。
根據CVSS風險評分高低,最嚴重的是 重大層級的CVE-2025-22224,此為涉及檢查時間及使用時間(TOCTOU)的競爭條件弱點,而有機會造成虛擬機器通訊介面(VMCI)的記憶體溢位,一旦觸發,將有可能引起記憶體越界寫入(OBW),風險值達到9.3分(滿分10分),影響ESXi、Cloud Foundation、VMware Telco Cloud Platform,以及Workstation。攻擊者若是取得虛擬機器的本機管理員權限,就有機會透過VMX處理程序,在主機上執行任意程式碼。
資安風險次高的漏洞為CVE-2025-22225,此為存在於ESXi、Cloud Foundation、VMware Telco Cloud Platform的漏洞,Workstation、Fusion不受影響。此為任意寫入漏洞,一旦攻擊者取得VMX處理程序的特殊權限,就有機會觸發核心任意寫入的現象,從而進行沙箱逃逸,風險值為8.2。
第三個被用於實際攻擊行動的弱點CVE-2025-22226,為主機與虛機機器的檔案共用系統(HGFS)資訊洩露弱點,攻擊者在取得虛擬機器管理者權限的情況下,就有機會觸發並洩露VMX處理程序存放於記憶體的內容,風險值為7.1。值得留意的是,雖然這項弱點的危險程度是三者當中最低,但影響範圍最廣,涵蓋ESXi、Cloud Foundation、VMware Telco Cloud Platform、Workstation,以及Fusion。
熱門新聞
2025-03-03
2025-03-03
2025-03-03
2025-03-03
