VMware ESXi, Workstation, Fusion关键缓冲区溢出特权升级漏洞

栏目: 服务器 · 发布时间: 6年前

内容简介:VMware发布了针对其ESXi,Workstation和Fusion软件的更新,以解决基于SVGA堆的关键缓冲区溢出特权升级漏洞,该漏洞允许guest虚拟机在主机上执行代码。“在处理虚拟化SVGA时存在特定缺陷。问题是由于缺乏对用户提供的数据的正确验证,这可能导致基于堆的缓冲区溢出,”匿名攻击者利用安全问题来破坏运行以下易受攻击版本的VMWare vSphere ESXi的机器(在ESXi670-201810101-SG之前为6.7,在ESXi650-201808401-BG之前为6.5,在ESXi60

VMware发布了针对其ESXi,Workstation和Fusion软件的更新,以解决基于SVGA堆的关键缓冲区溢出特权升级漏洞,该漏洞允许guest虚拟机在主机上执行代码。

“在处理虚拟化SVGA时存在特定缺陷。问题是由于缺乏对用户提供的数据的正确验证,这可能导致基于堆的缓冲区溢出,”匿名 ZDI-18-1242 咨询说。 “攻击者可以利用此漏洞与其他漏洞一起在主机操作系统的上下文中执行代码。”

攻击者利用安全问题来破坏运行以下易受攻击版本的VMWare vSphere ESXi的机器(在ESXi670-201810101-SG之前为6.7,在ESXi650-201808401-BG之前为6.5,在ESXi600-201808401-BG之前为6.0),Workstation(Pro)/Player)(14.1.3之前的14.x)和VMware Fusion(Fusion Pro)(10.1x之前的10.x)产品。

VMware的 VMSA-2018-0026安全建议页面 列出了所有更新产品的详细补丁信息和发行说明,以及所有受影响产品的严重等级。

VMware在最新版本的ESXi,Workstation和Fusion中修复了越界读取漏洞

“在处理虚拟化SVGA时存在特定的缺陷。问题是由于缺乏对用户提供的数据的正确验证,这可能导致基于堆的缓冲区溢出,”ZDI咨询公司也说。 “攻击者可以利用此漏洞与其他漏洞一起在主机操作系统的上下文中执行代码。”

此外,Common Vulnerabilities and Exposures项目(cve.mitre.org)为此安全问题分配了CVE-2018-6974标识符。

此外,SVGA设备中这个基于堆的关键缓冲区溢出权限升级漏洞已于6月12日向VMware报告,并且在供应商将其修复到所有受影响的产品后于10月16日公开披露。

10月9日,思科Talos的Piotr Bania还在VMware的vSphere ESXi,工作站(Pro/Player)和VMware Fusion(Fusion Pro)软件的3D加速功能中披露了一个严重严重的拒绝服务漏洞。

Cisco Talos报告的CVE-2018-6977漏洞将触发所有易受攻击产品版本的拒绝服务,因为恶意制作的3D渲染着色器会导致无限循环。

VMware Workstation 15 Pro和VMware Fusion 11 Pro官方收费版本下载见 https://www.linuxidc.com/Linux/2018-10/154780.htm

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-10/154866.htm


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

在你身边,为你设计

在你身边,为你设计

腾讯公司用户研究与体验设计部 / 电子工业出版社 / 2013-1 / 69.00元

设计属于所有人,也意在为所有人使用,这既是设计的价值,也是设计的责任。本书内容包括:设计理念、设计方法、用户研究、体验设计、设计流程和工具,以及团队成长与管理等方面的知识与经验分享。一起来看看 《在你身边,为你设计》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具