近日,VMware修復了崑崙實驗室在2021 年中國天府杯駭客大賽期間展示的幾個高危漏洞。這些漏洞影響 VMware ESXi、Workstation 和 Fusion。
詳細名單
CVE-2021-22040–VMware ESXi、Workstation 和 Fusion 在 XHCI USB 控制器中包含一個釋放後使用漏洞。在虛擬機器上具有本地管理許可權的惡意行為者可能會利用此問題將程式碼作為在主機上執行的虛擬機器的 VMX 程序執行。
CVE-2021-22041–VMware ESXi、Workstation 和 Fusion 在 UHCI USB 控制器中包含一個雙重獲取漏洞。在虛擬機器上具有本地管理許可權的惡意行為者可能會利用此問題將程式碼作為在主機上執行的虛擬機器的 VMX 程序執行。
CVE-2021-22043 – VMware ESXi 包含一個 TOCTOU(Time-of-check Time-of-use)漏洞,該漏洞存在於處理臨時檔案的方式中。有權訪問 settingsd 的惡意行為者可能會利用此問題透過寫入任意檔案來提升其許可權。
VMware 還報告說,發現漏洞的白帽駭客首先根據當地法律向中國政府報告了這些漏洞,該法律命令發現零日漏洞的研究人員與政府當局分享他們的發現。
“這些問題是作為 VMware 參與的中國安全賽事天府杯的一部分被發現的。這些漏洞是由發現它們的研究人員根據他們的法律向中國政府報告的,”VMware 透露。
注:本文由E安全編譯報道。
