紧急通告:VMware虚拟机软件发现严重漏洞,切勿疏忽,务必立即升级!

图片[1]-紧急通告:VMware虚拟机软件发现严重漏洞,切勿疏忽,务必立即升级!-零度博客

昨晚,虚拟化产品领军企业VMware发布了一份安全公告,揭示了四个高危漏洞。这些漏洞为黑客和恶意软件提供了机会,能够绕过沙箱和虚拟机管理程序的保护,对宿主机的安全构成直接威胁。

其中两个漏洞已经彻底破坏了VMware产品的核心目标,使得恶意软件得以直接逃逸,感染宿主机,从而对其他宿主机、内部网络以及其他虚拟机造成严重威胁。

受影响的产品范围还包括广泛使用的VMware Workstation Pro虚拟机软件。因此,建议用户要么立即卸载VMware,要么立即进行更新,以避免潜在的安全漏洞。务必保持软件的最新版本,以确保系统安全性。

受漏洞影响的产品包括:

VMware Workstation Pro/Player 17.x 版,需升级到 17.5.1 版

VMware ESXi 8.0,需升级到 VMware ESXi80U2sb-23305545 版

VMware ESXi 8.0 [2],需升级到 VMware ESXi80U1d-23299997 版

VMware ESXi 7.0,需升级到 VMware ESXi70U3p-23307199 版

VMware Fusion 13.x 版,需升级到 VMware Fusion 13.5.1 版

 

如果你跟我一样,使用的是VMware Workstation Pro 虚拟机,

请点击这里直接下载新版本覆盖升级 【官方下载】或【网盘下载

教程

 

VMware ESXi  主机升级教程看这里:https://bbs.freedidi.com/t/topic/95

漏洞概述:

  1. CVE-2024-22252:XHCI USB控制器中存在UaF漏洞,具备虚拟机本地管理权限的用户可在主机上运行的VMX进程中执行代码,实质上逃逸沙盒,直接威胁宿主机安全。
  2. CVE-2024-22253:UHCI USB控制器中存在UaF漏洞,情况类似于CVE-2024-22252。
  3. CVE-2024-22254:越界后写入漏洞,VMX进程中特权用户可触发越界写入,导致沙箱逃逸。
  4. CVE-2024-22255:UHCI USB控制器中的信息泄露漏洞,拥有虚拟机管理访问权限的人可利用此漏洞从VMX进程中泄露内存。

临时解决方案:

从漏洞描述中可见,三个漏洞与USB控制器有关。因此,VMware提供的临时解决方案是直接删除USB控制器,如果目前无法升级到最新版本。

尽管删除USB控制器会导致虚拟/模拟的USB设备(如U盘或加密狗)无法使用,也无法使用USB直通功能,但鼠标和键盘不受影响。这是因为键鼠并非通过USB协议连接,删除USB控制器后仍可正常使用。

需注意的是,一些虚拟机,如Mac OS X,本身不支持PS/2键鼠,这些系统没有鼠标和键盘,也没有USB控制器。

THE END
喜欢就支持一下吧
点赞2177 分享
批量下载 TikTok、抖音的高清无水印视频!一键轻松搞定,完全免费! | 零度解说-零度博客
Google Voice保号教程,永久免费使用谷歌的虚拟手机号!-零度博客

Google Voice保号教程,永久免费使用谷歌的虚拟手机号!

Google Voice的虚拟手机号如果长时间不去使用 会被谷歌收回的 所以Google voice的保号就很有必要! 保号教程很简单,只需要去IFTTT网站创建一个免费的任务即可 网站:https://ifttt.com 进入网...
美国宇航局完成部署詹姆斯韦伯太空望远镜-零度博客

美国宇航局完成部署詹姆斯韦伯太空望远镜

NASA GSFC/CIL/Adriana Manrique Gutierrez NASA 距离詹姆斯韦伯太空望远镜投入使用又近了一大步。该机构已成功部署了 JWST 标志性的镀金主镜,完成了该仪器的所有主要部署。任务组仍然需要通过...
admin的头像-零度博客admin
1.5W+2251
Llama 3.2 本地部署教程 ,11B模型、支持视觉、图片识别功能!-零度博客

Llama 3.2 本地部署教程 ,11B模型、支持视觉、图片识别功能!

 Llama 3.2  11B 视觉模型下载方式 1、Hugging Face下载:【点击前往】 从模型库下载Llama 3.2 11B的模型文件。模型文件可以通过API或者手动下载。 2、其它打包下载:【点击前往】   1. ...
admin的头像-零度博客admin
3.2W+3261
WSA 和 Google Play的安装包下载-零度博客

WSA 和 Google Play的安装包下载

 1、WSA 和 Google Play的安装包:【点击下载】2、备用下载方式:【点击前往】  安装教程:https://youtu.be/KOwv4PZ-UCQ
admin的头像-零度博客admin
2W+2253
苹果 macOS、iOS  爆高危漏洞,只需一个短信,电脑和手机都会被黑!请立即自查!! 2024 | 零度解说-零度博客
免费开源好用的 Office 软件推荐!-零度博客

免费开源好用的 Office 软件推荐!

  1.Libreoffice  【官网】 LibreOffice 是一款功能强大的办公软件,默认使用开放文档格式 (OpenDocument Format , ODF), 并支持 *.docx, *.xlsx, *.pptx 等其他格式。 它包含了 Writer, ...
admin的头像-零度博客admin
1.7W+2250
庞大的新数据集突破了神经科学的极限!-零度博客

庞大的新数据集突破了神经科学的极限!

如何处理来自高达 300,000 个小鼠神经元的记录? 几乎所有介绍性神经科学课程中都会播放一段视频。它看起来并不多——一条光条在黑色屏幕上移动和旋转,而背景音频像远处烟花表演的声音一样弹出...
admin的头像-零度博客admin
1.6W+2250
准备把你的笔记本电脑带到维修店?小心你的隐私被侵犯-零度博客

准备把你的笔记本电脑带到维修店?小心你的隐私被侵犯

毫不奇怪,女性顾客首当其冲地受到隐私侵犯。     如果您在寻求计算机或电话维修时曾担心敏感数据的隐私,一项新研究表明您有充分的理由。调查发现,至少有 50% 的时间发生了隐私侵犯...
admin的头像-零度博客admin
1.7W+1091