VMware為關鍵虛擬機逃逸漏洞發布安全補丁

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：VMware針對在最近一次中國黑客大賽中發現的虛擬機（VM）逃逸重要漏洞發布安全補丁。

據報道，VMware已為該虛擬機（VM）逃逸重要漏洞（CVE-2018-6981與CVE-2018-6982）發布安全補丁，該漏洞由研究員張焱宇近期在中國GeekPwn2018黑客大賽中發現。

這些程序錯誤是由vmxnet3虛擬網路適配器中未初始化的堆棧內存使用錯誤導致的。而這些錯誤僅在vmxnet3適配器允許的情況下才可用。

由VMware發布的通知可知，「VMware ESXi、Fusion與Workstation的vmxnet3虛擬網路適配器中包含未初始化的堆棧內存使用。啟用vmxnet3時，該問題會允許虛擬機在宿主機上執行代碼。所有的vmxnet3均受此問題影響。」

虛擬主機可利用漏洞「CVE-2018-6981」在主機上執行任意代碼，影響VMware ESXi、Fusion與Workstation產品。而漏洞「CVE-2018-6982」可導致從主機到虛擬機的信息泄露，該漏洞隻影響ESXi。

GeekPwn是由中國公司碁震雲計算（Keen Cloud Tech）於2014年在中國發起並舉辦的知名黑客大賽，且自2017起，該賽事也開始在美國舉行。

最新賽事GeekPwn2018於10月24與25日在上海舉行，主辦方提供總額80萬美元的獎池。今年，一名中國的研究員發現一個虛擬機到宿主機的逃逸漏洞，該漏洞與其他小問題一起影響多個VMware產品。

該漏洞非常重要，因為這是專家首次成功嘗試逃逸VMwareESXi，並在宿主系統中獲取root shell。

該虛擬化軟體巨頭已為這兩個漏洞發布補丁與更新。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！