本周二，虚拟化技术厂商 VMware 紧急修复企业级产品 ESXi、Workstation、Fusion 和 Cloud Foundation 产品中的多个严重漏洞。

VMware 公司发布了四个漏洞，并提醒称其中最严重的漏洞可导致在虚拟机上具有本地管理员权限的恶意人员可以在主机上运行的虚拟机的VMX进程身份执行代码。

其中两个漏洞的CVSS评分为9.3，由于对组织机构的风险不断增多，VMware 甚至为一些已达生命周期的产品推出修复方案。该公司称这两个漏洞是释放后使用内存损坏漏洞，位于XHCI USB 控制器中（CVE-2024-22252和CVE-2024-22253），可组合用于逃逸沙箱缓解措施。

VMware 公司提醒称，“在ESXi上，该利用包含于 VMX沙箱中，而在 Workstation 和 Fusion 中这样做可能导致在安装了 Workstation 和 Fusion 上的机器上执行代码。”

VMware 公司证实称ESXi 中的一个界外写漏洞可导致沙箱逃逸利用，而位于 UHCI USB 控制器中的一个信息泄露漏洞可用于泄露 vmx 进程中的内存。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~