紧急通告:VMware虚拟机软件发现严重漏洞,切勿疏忽,务必立即升级!

图片[1]-紧急通告:VMware虚拟机软件发现严重漏洞,切勿疏忽,务必立即升级!-零度博客

昨晚,虚拟化产品领军企业VMware发布了一份安全公告,揭示了四个高危漏洞。这些漏洞为黑客和恶意软件提供了机会,能够绕过沙箱和虚拟机管理程序的保护,对宿主机的安全构成直接威胁。

其中两个漏洞已经彻底破坏了VMware产品的核心目标,使得恶意软件得以直接逃逸,感染宿主机,从而对其他宿主机、内部网络以及其他虚拟机造成严重威胁。

受影响的产品范围还包括广泛使用的VMware Workstation Pro虚拟机软件。因此,建议用户要么立即卸载VMware,要么立即进行更新,以避免潜在的安全漏洞。务必保持软件的最新版本,以确保系统安全性。

受漏洞影响的产品包括:

VMware Workstation Pro/Player 17.x 版,需升级到 17.5.1 版

VMware ESXi 8.0,需升级到 VMware ESXi80U2sb-23305545 版

VMware ESXi 8.0 [2],需升级到 VMware ESXi80U1d-23299997 版

VMware ESXi 7.0,需升级到 VMware ESXi70U3p-23307199 版

VMware Fusion 13.x 版,需升级到 VMware Fusion 13.5.1 版

 

如果你跟我一样,使用的是VMware Workstation Pro 虚拟机,

请点击这里直接下载新版本覆盖升级 【官方下载】或【网盘下载

教程

 

VMware ESXi  主机升级教程看这里:https://bbs.freedidi.com/t/topic/95

漏洞概述:

  1. CVE-2024-22252:XHCI USB控制器中存在UaF漏洞,具备虚拟机本地管理权限的用户可在主机上运行的VMX进程中执行代码,实质上逃逸沙盒,直接威胁宿主机安全。
  2. CVE-2024-22253:UHCI USB控制器中存在UaF漏洞,情况类似于CVE-2024-22252。
  3. CVE-2024-22254:越界后写入漏洞,VMX进程中特权用户可触发越界写入,导致沙箱逃逸。
  4. CVE-2024-22255:UHCI USB控制器中的信息泄露漏洞,拥有虚拟机管理访问权限的人可利用此漏洞从VMX进程中泄露内存。

临时解决方案:

从漏洞描述中可见,三个漏洞与USB控制器有关。因此,VMware提供的临时解决方案是直接删除USB控制器,如果目前无法升级到最新版本。

尽管删除USB控制器会导致虚拟/模拟的USB设备(如U盘或加密狗)无法使用,也无法使用USB直通功能,但鼠标和键盘不受影响。这是因为键鼠并非通过USB协议连接,删除USB控制器后仍可正常使用。

需注意的是,一些虚拟机,如Mac OS X,本身不支持PS/2键鼠,这些系统没有鼠标和键盘,也没有USB控制器。

THE END
喜欢就支持一下吧
点赞2177 分享
NDM:可以媲美IDM的超线程下载器!完全免费开源-零度博客

NDM:可以媲美IDM的超线程下载器!完全免费开源

许多人可能会认为IDM是最出色的下载器,但若要挑选一个与之匹敌的,NDM无疑也是一个极佳的选择。 NDM也支持最高32线程的下载,从而使得原本耗时1-2小时的下载任务,如今可能仅在十几分钟乃至几...
admin的头像-零度博客admin
2.7W+3256
美国Apple ID 最新注册教程, 稳定且耐用!无需信用卡、操作非常简单! | 零度解说-零度博客
Chrome 金丝雀版 !开发者专用的谷歌浏览器Canary版本-零度博客

Chrome 金丝雀版 !开发者专用的谷歌浏览器Canary版本

  Chrome 金丝雀版官方下载: 简体中文版:https://www.google.com/intl/zh-CN/chrome/canary/ 繁体中文版:https://www.google.com/intl/zh-TW/chrome/canary/  
admin的头像-零度博客admin
1.7W+2250
微软警告:旧版安装介质可能阻止 Windows 11 更新!-零度博客

微软警告:旧版安装介质可能阻止 Windows 11 更新!

微软近日警告,使用 CD 或 USB 闪存驱动器等物理介质安装 Windows 11 版本 24H2 时可能会遇到问题。如果安装介质包含 2024 年 10 月 8 日至 11 月 12 日之间发布的安全更新,安装后的系统可能无...
admin的头像-零度博客admin
1.4W+2277
5款非常值得推荐的 windows 应用程序 和 免费实用软件 | 零度解说-零度博客
Windows 10 最实用的十个快捷键!-零度博客

Windows 10 最实用的十个快捷键!

熟练运用Windows 10上的这十个非常实用的快捷键,将会给我们在工作及学习上带来巨大的便利! https://youtu.be/Mz_IT2vtPTw
三星 Galaxy S22 欧洲价格泄露表明基本 Ultra 型号的 RAM 更少-零度博客

三星 Galaxy S22 欧洲价格泄露表明基本 Ultra 型号的 RAM 更少

据Android Police报道,可靠的泄密者 Roland Quandt 已经发布了即将推出的三星 Galaxy S22 系列的潜在欧洲定价信息。三星似乎延续了之前 S21 系列的价格,唯一的不一致是价格相同的 S22 Ultra ...
admin的头像-零度博客admin
1.5W+2251
微软不小心泄露了内部工具,该工具可实现 Windows 11 的秘密功能-零度博客

微软不小心泄露了内部工具,该工具可实现 Windows 11 的秘密功能

微软不小心泄露了其内部“StagingTool”应用程序,员工使用该应用程序来启用未发布的 Windows 11 秘密功能。这家软件巨头通常会在操作系统的公共版本中测试实验性或隐藏的 Windows 11 功能,但 ...
admin的头像-零度博客admin
1.9W+1684
Google Chrome 最新更新的一个安全修复程序,您应该尽快安装!-零度博客

Google Chrome 最新更新的一个安全修复程序,您应该尽快安装!

  Windows、Mac 和 Linux 上的 Google Chrome 用户需要为浏览器安装最新更新,以保护自己免受黑客正在积极利用的严重安全漏洞的侵害。 该公司在 9 月 2 日的博客文章中表示: “谷歌知道...
admin的头像-零度博客admin
1.6W+2250