奇科厚德揭示VM虚拟机紧急漏洞,升级刻不容缓(2024.3.14)
近日发布了一份紧急安全公告,揭示了四个高危漏洞。这些漏洞的严重性在于,它们能让黑客或恶意软件突破沙盒和虚拟机管理器的防线,直接威胁到宿主机的安全。尤为令人震惊的是,其中两个漏洞直接挑战了VMware产品的核心使命,它们允许恶意软件逃逸并感染宿主机,对其它宿主机、内部网络以及其它虚拟机构成巨大威胁。此次安全漏洞的影响范围广泛,包括广大用户常用的VMware Workstation Pro虚拟机软件。奇科厚德强烈建议用户考虑暂时卸载VMware或立即进行更新,以防范潜在的安全风险。
VMwareESXi 8.0:请升级至VMware ESXi80U2sb-23305545版
VMware ESXi 8.0 [2]:请升级至VMware ESXi80U1d-23299997版
VMware ESXi 7.0:请升级至VMware ESXi70U3p-23307199版
VMware Workstation Pro/Player 17.x版:请升级至17.5.1版
VMware Fusion 13.x版:请升级至VMware Fusion 13.5.1版
具体漏洞信息如下:
CVE-2024-22252:XHCI USB控制器UaF(使用后释放)漏洞。此漏洞允许具有虚拟机本地管理权限的用户在宿主机上执行VMX进程中的代码,实现沙箱逃逸,直接威胁宿主机安全。
(CVE-2024-22252)
CVE-2024-22253:UHCI USB控制器UaF漏洞,情况与CVE-2024-22252类似。
(CVE-2024-22253)
CVE-2024-22254:越界后写入漏洞。此漏洞允许在VMX进程中拥有特权的人触发越界写入,导致沙箱逃逸。
(CVE-2024-22254)
CVE-2024-22255:UHCI USB控制器信息泄露漏洞。此漏洞可被具有虚拟机管理访问权限的人利用,以从VMX进程中泄露内存信息。
(CVE-2024-22255)
奇科厚德建议用户在无法立即更新的情况下,移除USB控制器。这一措施将导致所有虚拟或模拟的USB设备,如U盘或加密狗,失去功能,并禁用USB直通功能。值得注意的是,鼠标和键盘的使用不受影响,因为它们的连接不依赖于USB协议某些虚拟机系统,如MacOS X,不支持PS/2接口的键盘和鼠标。这意味着在这些系统中,移除USB控制器后,将无法使用键鼠。在采取此临时措施时,请务必权衡利弊,确保不会影响到您的正常操作。
