VMware ESXi, Workstation, Fusion关键缓冲区溢出特权升级漏洞

栏目: 服务器 · 发布时间: 6年前

内容简介:VMware发布了针对其ESXi,Workstation和Fusion软件的更新,以解决基于SVGA堆的关键缓冲区溢出特权升级漏洞,该漏洞允许guest虚拟机在主机上执行代码。“在处理虚拟化SVGA时存在特定缺陷。问题是由于缺乏对用户提供的数据的正确验证,这可能导致基于堆的缓冲区溢出,”匿名攻击者利用安全问题来破坏运行以下易受攻击版本的VMWare vSphere ESXi的机器(在ESXi670-201810101-SG之前为6.7,在ESXi650-201808401-BG之前为6.5,在ESXi60

VMware发布了针对其ESXi,Workstation和Fusion软件的更新,以解决基于SVGA堆的关键缓冲区溢出特权升级漏洞,该漏洞允许guest虚拟机在主机上执行代码。

“在处理虚拟化SVGA时存在特定缺陷。问题是由于缺乏对用户提供的数据的正确验证,这可能导致基于堆的缓冲区溢出,”匿名 ZDI-18-1242 咨询说。 “攻击者可以利用此漏洞与其他漏洞一起在主机操作系统的上下文中执行代码。”

攻击者利用安全问题来破坏运行以下易受攻击版本的VMWare vSphere ESXi的机器(在ESXi670-201810101-SG之前为6.7,在ESXi650-201808401-BG之前为6.5,在ESXi600-201808401-BG之前为6.0),Workstation(Pro)/Player)(14.1.3之前的14.x)和VMware Fusion(Fusion Pro)(10.1x之前的10.x)产品。

VMware的 VMSA-2018-0026安全建议页面 列出了所有更新产品的详细补丁信息和发行说明,以及所有受影响产品的严重等级。

VMware在最新版本的ESXi,Workstation和Fusion中修复了越界读取漏洞

“在处理虚拟化SVGA时存在特定的缺陷。问题是由于缺乏对用户提供的数据的正确验证,这可能导致基于堆的缓冲区溢出,”ZDI咨询公司也说。 “攻击者可以利用此漏洞与其他漏洞一起在主机操作系统的上下文中执行代码。”

此外,Common Vulnerabilities and Exposures项目(cve.mitre.org)为此安全问题分配了CVE-2018-6974标识符。

此外,SVGA设备中这个基于堆的关键缓冲区溢出权限升级漏洞已于6月12日向VMware报告,并且在供应商将其修复到所有受影响的产品后于10月16日公开披露。

10月9日,思科Talos的Piotr Bania还在VMware的vSphere ESXi,工作站(Pro/Player)和VMware Fusion(Fusion Pro)软件的3D加速功能中披露了一个严重严重的拒绝服务漏洞。

Cisco Talos报告的CVE-2018-6977漏洞将触发所有易受攻击产品版本的拒绝服务,因为恶意制作的3D渲染着色器会导致无限循环。

VMware Workstation 15 Pro和VMware Fusion 11 Pro官方收费版本下载见 https://www.linuxidc.com/Linux/2018-10/154780.htm

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-10/154866.htm


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

小程序大时代

小程序大时代

即速应用 / 哈尔滨工业大学出版社 / 2018-10 / 58元

2017年1月9日微信小程序的问世,是中国互联网发展史上的又一个里程碑。支付宝、百度、今日头条等各大巨头的陆续进场,无不证明小程序这种轻应用形态已经成为移动互联网的发展趋势。我们希望可以通过这本书,帮助零基础的小程序爱好者,了解小程序的市场走向和生态发展,学会小程序的制作与运营,读懂小程序这个全新物种。 全书分为入门篇、制作篇、运营篇三大篇章。 入门篇首先揭开小程序的神秘面纱,盘点小程......一起来看看 《小程序大时代》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具