欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

许多个高危SVGA代码执行漏洞bug,VMware努力进行修补

来源:本站整理 作者:佚名 时间:2017-09-20 TAG: 我要投稿

VMware本周宣布补钉修复数个漏洞破绽bug,包含一个重大漏洞破绽bug,漏洞破绽bug触及的产物包含ESXi, vCenter Server, Workstation和Fusion。
此中这个重大漏洞破绽bug编号为CVE-2017-4924,这是一个SVGA装备中的越界写入成绩,SVGA是经由过程VMware虚构化产物完成的旧虚构显卡。VMware表现,该漏洞破绽bug可以或许让黑客经由过程访客虚构机在主机上履行代码。
6月22日,Comsecuris UG的Nico Golde和Ralf-Philipp Weinmann经由过程ZDI向VMware申报了安全漏洞破绽bug。ZDI的通知布告中指出,攻击者必需可以或许在guest主机上履行低权限代码能力应用漏洞破绽bug。
“Shader存在某个漏洞破绽bug,”ZDI通知布告提到。“漏洞破绽bug的缘故原由是没有对用户提交数据的准确验证,这可以或许招致数据写入到缓冲区的开头。而后攻击者可以或许应用其余漏洞破绽bug在主机操作系统上履行代码。“
只管VMware将其评级为重大,但ZDI给出的CVSS评分为6.2,属于中危漏洞破绽bug。OS X上的ESXi 6.5、Workstation 12.x和Fusion 8.x都受到影响。

本周宣布的第二个漏洞破绽bug列为中危,编号为CVE-2017-4925,由Zhang Haitao发明。他注意到在处置guest主机RPC哀求时,ESXi,Workstation和Fusion有一个NULL指针解援用漏洞破绽bug。攻击者只要有失常用户权限就可以或许应用漏洞破绽bug损坏虚构机。
这个漏洞破绽bug会影响到OS X上的ESXi 5.5,6.0和6.5,Workstation 12.x和Fusion 8.x。
第三个漏洞破绽bug也被评为中危,由Thomas Ornetzeder发明,漏洞破绽bug编号CVE-2017-4926。Ornetzeder发明,版本6.5上的vCenter Server H5客户端中存在存储型跨站点剧本(XSS)漏洞破绽bug。具备VC用户权限的攻击者可以或许在网页中注入恶意病毒木马js代码,当其余用户拜访是就可以或许履行相干代码。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载