手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

VMware修复多个严重SVGA代码执行漏洞

[日期:2017-09-20] 来源:FreeBuf.COM  作者:Sphinx [字体: ]

VMware本周发布补丁修复数个漏洞,包括一个严重漏洞,漏洞涉及的产品包括ESXi, vCenter Server, Workstation和Fusion。

其中这个严重漏洞编号为CVE-2017-4924,这是一个SVGA设备中的越界写入问题,SVGA是通过VMware虚拟化产品实现的旧虚拟显卡。VMware表示,该漏洞可以让黑客通过访客虚拟机在主机上执行代码。

6月22日,Comsecuris UG的Nico Golde和Ralf-Philipp Weinmann通过ZDI向VMware报告了安全漏洞。ZDI的公告中指出,攻击者必须能够在guest主机上执行低权限代码才能利用漏洞。

“Shader存在某个漏洞,”ZDI公告提到。“漏洞的原因是没有对用户提交数据的正确验证,这可能导致数据写入到缓冲区的结尾。然后攻击者可以利用其他漏洞在主机操作系统上执行代码。“

尽管VMware将其评级为严重,但ZDI给出的CVSS评分为6.2,属于中危漏洞。OS X上的ESXi 6.5、Workstation 12.x和Fusion 8.x都受到影响。

本周发布的第二个漏洞列为中危,编号为CVE-2017-4925,由Zhang Haitao发现。他注意到在处理guest主机RPC请求时,ESXi,Workstation和Fusion有一个NULL指针解引用漏洞。攻击者只要有正常用户权限就可以利用漏洞破坏虚拟机。

这个漏洞会影响到OS X上的ESXi 5.5,6.0和6.5,Workstation 12.x和Fusion 8.x。

第三个漏洞也被评为中危,由Thomas Ornetzeder发现,漏洞编号CVE-2017-4926。Ornetzeder发现,版本6.5上的vCenter Server H5客户端中存在存储型跨站点脚本(XSS)漏洞。具有VC用户权限的攻击者可以在网页中注入恶意js代码,当其他用户访问是就可以执行相关代码。

*参考来源:SecurityWeek,本文作者:Sphinx,转载请注明来自FreeBuf.COM

本文永久更新链接地址http://www.linuxidc.com/Linux/2017-09/147007.htm

linux
相关资讯       VMware漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款