标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-659] 作者: banana 发表于: [2017-09-19]
本文共 [431] 位读者顶过
据外媒报道,网络安全公司 Comixuris UG 研究人员 Nico Golde 与 Ralf-Philipp Weinmann 于今年 6 月发现全球虚拟化软件研发与销售企业 VMware 的 ESXi、vCenter 服务器、Workstation 与 Fusion 产品中存在多处漏洞,允许攻击者在获取用户低等特权时执行任意代码。近期,VMware 研究人员在线发布漏洞补丁修复程序。 [出自:jiwo.org] 调查显示,上述产品漏洞中最为严重的一处与 SVGA 设备的越界写入有关,其编号为 CVE-2017-4924( CVSS 分值为 6.2)。SVGA 是一台由 VMware 虚拟化产品实现旧版虚拟图像显卡仪器,而该漏洞允许攻击者在 SVGA 主机上执行任意代码。目前,OS X 上的 ESXi 6.5、Workstation 12.x 与 Fusion 8.x 产品普遍遭受影响。 研究人员发布的第二处漏洞(CVE-2017-4925)被列为中等危害,其主要影响 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本与 Fusion 8.x 版本。值得注意的是,具有正常用户权限的攻击者可以利用此漏洞破坏其虚拟机设备。 第三处漏洞(CVE-2017-4926)也被列为中等危害,允许具有 VC 用户权限的攻击者可以在其他用户访问 XSS 页面时执行恶意 JavaScript 代码。不过,研究人员发现该漏洞仅影响 vCenter Server H5 6.5 版本的客户端设备。 |