VMwareESXi Workstation Fusion中发现多处信息泄露安全漏洞

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

VMware上周告诉客户,它修补了多个可能导致其ESXi,Workstation和Fusion产品中出现拒绝服务(DoS)状况或信息泄露的漏洞。

VMwareESXi Workstation Fusion中发现多处信息泄露安全漏洞

VMware在着色器转换器组件中将这些缺陷描述为越界读取问题。具有常规用户权限的攻击者可利用安全漏洞获取信息或使虚拟机崩溃。

该漏洞,列为“重要的是,”跟踪为CVE-2018-6965,CVE-2018-6966和CVE-2018-6967。一位使用在线名字“RanchoIce”的腾讯ZhanluLab研究员因为向VMware报告漏洞而获奖。Cisco Talos的研究人员独立发现了CVE-2018-6965。

据VMware称,这些缺陷会影响在任何平台上运行的ESXi 6.7和Workstation 14.x,以及在OS X上运行的Fusion 10.x。已发布针对每种受影响产品的修补程序和更新。

Cisco Talos发布了一份包含CVE-2018-6965技术细节的建议。该公司已为此漏洞分配了6.5的CVSS分数,这使得它接近“高严重性”范围。

“特制的像素着色器可能导致读取访问冲突,至少会导致拒绝服务。攻击者可以提供特制的着色器文件(以二进制或文本形式)来触发此漏洞。这个漏洞可能会受到VMware客户和VMware主机的触发,它会受到影响(导致主机上的vmware-vmx.exe进程崩溃),“Talos在其咨询中写道。

“简而言之,可能会以这种方式创建着色器,导致无效的指针计算。指针稍后用于读取存储器操作。这会导致访问违规,因为指针无效,导致拒绝服务,但可能会变成信息泄露漏洞,“Talos补充说。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: