昨天夜里虛擬化產(chǎn)品開(kāi)發(fā)商 VMware 發(fā)布安全公告透露 4 個(gè)高危漏洞，安全這些漏洞使得黑客 / 惡意軟件能夠從突破沙箱和虛擬機(jī)管理程序的警告即升級(jí)藍(lán)保護(hù)，進(jìn)而威脅宿主機(jī)的等多款點(diǎn)網(wǎng)深圳福田同城附近約同城外圍女上門電vx《189=4143》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)安全。

其中有兩個(gè)漏洞已經(jīng)完全破壞了 VMware 產(chǎn)品的產(chǎn)品出現(xiàn)根本目的：惡意軟件可以直接逃逸后感染宿主機(jī)，進(jìn)而對(duì)其他宿主機(jī)、高危內(nèi)部網(wǎng)絡(luò)、漏洞其他虛擬機(jī)都造成嚴(yán)重威脅。請(qǐng)立

受影響的安全產(chǎn)品也包括各位用戶使用的 VMware Workstation Pro 虛擬機(jī)軟件，因此請(qǐng)要么卸載 VMware 要么就立即更新，警告即升級(jí)藍(lán)深圳福田同城附近約同城外圍女上門電vx《189=4143》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)避免存在安全缺陷。等多款點(diǎn)網(wǎng)

受影響的高危產(chǎn)品包括：

VMware ESXi 8.0，需升級(jí)到 VMware ESXi80U2sb-23305545 版

VMware ESXi 8.0 [2]，漏洞需升級(jí)到 VMware ESXi80U1d-23299997 版

VMware ESXi 7.0，請(qǐng)立需升級(jí)到 VMware ESXi70U3p-23307199 版

VMware Workstation Pro/Player 17.x 版，安全需升級(jí)到 17.5.1 版

VMware Fusion 13.x 版，需升級(jí)到 VMware Fusion 13.5.1 版

下載地址：

使用 VMware Workstation Pro 虛擬機(jī)的用戶請(qǐng)點(diǎn)擊這里直接下載新版本覆蓋升級(jí)：https://download3.vmware.com/software/WKST-1751-WIN/VMware-workstation-full-17.5.1-23298084.exe

下面是漏洞概述：

CVE-2024-22252：XHCI USB 控制器中的 UaF 漏洞，具有虛擬機(jī)本地管理權(quán)限的用戶可以在主機(jī)上運(yùn)行的 VMX 進(jìn)程執(zhí)行代碼，實(shí)際上也就是從沙盒里逃逸了，可以直接侵入宿主機(jī)。

CVE-2024-22253：UHCI USB 控制器中的 UaF 漏洞，情況與 CVE-2024-22252 類似。

CVE-2024-22254：越界后寫(xiě)入漏洞，此漏洞使得在 VMX 進(jìn)程中擁有特權(quán)的人可以觸發(fā)越界寫(xiě)入進(jìn)而導(dǎo)致沙箱逃逸。

CVE-2024-22255：UHCI USB 控制器中的信息泄露漏洞，具有虛擬機(jī)管理訪問(wèn)權(quán)限的人可以利用此漏洞從 VMX 進(jìn)程中泄露內(nèi)存。

臨時(shí)解決方案：

從漏洞描述中可以看到三個(gè)漏洞與 USB 控制器有關(guān)，因此 VMware 提供的臨時(shí)解決方案是直接刪除 USB 控制器，如果你現(xiàn)在無(wú)法升級(jí)到最新版本的話。

刪除 USB 控制器會(huì)導(dǎo)致虛擬 / 模擬的 USB 設(shè)備包括 U 盤(pán)或者加密狗等無(wú)法使用，也無(wú)法使用 USB 直通功能，但鼠標(biāo)和鍵盤(pán)不受影響，鍵鼠并不是通過(guò) USB 協(xié)議連接的，刪除 USB 控制器后可以繼續(xù)用。

需要提醒的是有些虛擬機(jī)例如 Mac OS X 本身不支持 PS/2 鍵鼠，這些系統(tǒng)沒(méi)有鼠標(biāo)和鍵盤(pán)，也沒(méi)有 USB 控制器。