近日,博通公司发布了最新版本的 VMware Workstation 和 Fusion。这两个版本的主要修复项目是四项已知安全漏洞。
其中最严重的是被评为“重大”级别的CVE-2024-22267。该漏洞属于“Use After Free”类型RAM漏洞(在释放了某个RAM区域之后,程序继续使用了已经释放的RAM),黑客如果能够获得本地管理员权限,就可以利用此漏洞在虚拟机中执行恶意代码。这项工作是在VMX进程下完成的。
此外,还有三项漏洞(CVE-2024-22268、CVE-2024-22269和CVE-2024-22270)也得到了修复,它们的CVSS评分为“高风险”。这些漏洞分别位于虚拟蓝牙设备组件以及主机/虚拟机的文件共享系统(Host Guest File System,HGFS)中。而其中的一个(CVE-2024-22269)与Shader组件有关,并且存在一个内存缓冲区溢出问题。
除了CVE-2024-22268外,其他三个漏洞都来自“漏洞挖掘竞赛Pwn2Own Vancouver 2024”,由安全公司Theori和Star Labs SG组成的团队发现;而CVE-2024-22268这个漏洞则出自“悬赏项目Zero Day Initiative”。
评论