VMware為關鍵虛擬機逃逸漏洞發布安全補丁
更多全球網路安全資訊盡在E安全官網www.easyaq.com
小編來報:VMware針對在最近一次中國黑客大賽中發現的虛擬機(VM)逃逸重要漏洞發布安全補丁。
據報道,VMware已為該虛擬機(VM)逃逸重要漏洞(CVE-2018-6981與CVE-2018-6982)發布安全補丁,該漏洞由研究員張焱宇近期在中國GeekPwn2018黑客大賽中發現。
這些程序錯誤是由vmxnet3虛擬網路適配器中未初始化的堆棧內存使用錯誤導致的。而這些錯誤僅在vmxnet3適配器允許的情況下才可用。
由VMware發布的通知可知,「VMware ESXi、Fusion與Workstation的vmxnet3虛擬網路適配器中包含未初始化的堆棧內存使用。啟用vmxnet3時,該問題會允許虛擬機在宿主機上執行代碼。所有的vmxnet3均受此問題影響。」
虛擬主機可利用漏洞「CVE-2018-6981」在主機上執行任意代碼,影響VMware ESXi、Fusion與Workstation產品。而漏洞「CVE-2018-6982」可導致從主機到虛擬機的信息泄露,該漏洞隻影響ESXi。
GeekPwn是由中國公司碁震雲計算(Keen Cloud Tech)於2014年在中國發起並舉辦的知名黑客大賽,且自2017起,該賽事也開始在美國舉行。
最新賽事GeekPwn2018於10月24與25日在上海舉行,主辦方提供總額80萬美元的獎池。今年,一名中國的研究員發現一個虛擬機到宿主機的逃逸漏洞,該漏洞與其他小問題一起影響多個VMware產品。
該漏洞非常重要,因為這是專家首次成功嘗試逃逸VMwareESXi,並在宿主系統中獲取root shell。
該虛擬化軟體巨頭已為這兩個漏洞發布補丁與更新。
※蒂姆庫克要求彭博社撤回其備受爭議的晶元報道
※無人機漏洞或危及企業數據
TAG:E安全 |