内容简介:VMware发布了针对其ESXi,Workstation和Fusion软件的更新,以解决基于SVGA堆的关键缓冲区溢出特权升级漏洞,该漏洞允许guest虚拟机在主机上执行代码。“在处理虚拟化SVGA时存在特定缺陷。问题是由于缺乏对用户提供的数据的正确验证,这可能导致基于堆的缓冲区溢出,”匿名攻击者利用安全问题来破坏运行以下易受攻击版本的VMWare vSphere ESXi的机器(在ESXi670-201810101-SG之前为6.7,在ESXi650-201808401-BG之前为6.5,在ESXi60
VMware发布了针对其ESXi,Workstation和Fusion软件的更新,以解决基于SVGA堆的关键缓冲区溢出特权升级漏洞,该漏洞允许guest虚拟机在主机上执行代码。
“在处理虚拟化SVGA时存在特定缺陷。问题是由于缺乏对用户提供的数据的正确验证,这可能导致基于堆的缓冲区溢出,”匿名 ZDI-18-1242 咨询说。 “攻击者可以利用此漏洞与其他漏洞一起在主机操作系统的上下文中执行代码。”
攻击者利用安全问题来破坏运行以下易受攻击版本的VMWare vSphere ESXi的机器(在ESXi670-201810101-SG之前为6.7,在ESXi650-201808401-BG之前为6.5,在ESXi600-201808401-BG之前为6.0),Workstation(Pro)/Player)(14.1.3之前的14.x)和VMware Fusion(Fusion Pro)(10.1x之前的10.x)产品。
VMware的 VMSA-2018-0026安全建议页面 列出了所有更新产品的详细补丁信息和发行说明,以及所有受影响产品的严重等级。
VMware在最新版本的ESXi,Workstation和Fusion中修复了越界读取漏洞
“在处理虚拟化SVGA时存在特定的缺陷。问题是由于缺乏对用户提供的数据的正确验证,这可能导致基于堆的缓冲区溢出,”ZDI咨询公司也说。 “攻击者可以利用此漏洞与其他漏洞一起在主机操作系统的上下文中执行代码。”
此外,Common Vulnerabilities and Exposures项目(cve.mitre.org)为此安全问题分配了CVE-2018-6974标识符。
此外,SVGA设备中这个基于堆的关键缓冲区溢出权限升级漏洞已于6月12日向VMware报告,并且在供应商将其修复到所有受影响的产品后于10月16日公开披露。
10月9日,思科Talos的Piotr Bania还在VMware的vSphere ESXi,工作站(Pro/Player)和VMware Fusion(Fusion Pro)软件的3D加速功能中披露了一个严重严重的拒绝服务漏洞。
Cisco Talos报告的CVE-2018-6977漏洞将触发所有易受攻击产品版本的拒绝服务,因为恶意制作的3D渲染着色器会导致无限循环。
VMware Workstation 15 Pro和VMware Fusion 11 Pro官方收费版本下载见 https://www.linuxidc.com/Linux/2018-10/154780.htm
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-10/154866.htm
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。