VMware Workstation/Fusion获推17.5.2/13.5.2版本更新，修复四项虚拟化漏洞

近日，博通公司发布了最新版本的 VMware Workstation 和 Fusion。这两个版本的主要修复项目是四项已知安全漏洞。

其中最严重的是被评为“重大”级别的CVE-2024-22267。该漏洞属于“Use After Free”类型RAM漏洞（在释放了某个RAM区域之后，程序继续使用了已经释放的RAM），黑客如果能够获得本地管理员权限，就可以利用此漏洞在虚拟机中执行恶意代码。这项工作是在VMX进程下完成的。

此外，还有三项漏洞（CVE-2024-22268、CVE-2024-22269和CVE-2024-22270）也得到了修复，它们的CVSS评分为“高风险”。这些漏洞分别位于虚拟蓝牙设备组件以及主机/虚拟机的文件共享系统（Host Guest File System，HGFS）中。而其中的一个（CVE-2024-22269）与Shader组件有关，并且存在一个内存缓冲区溢出问题。

除了CVE-2024-22268外，其他三个漏洞都来自“漏洞挖掘竞赛Pwn2Own Vancouver 2024”，由安全公司Theori和Star Labs SG组成的团队发现；而CVE-2024-22268这个漏洞则出自“悬赏项目Zero Day Initiative”。