首页 > 安全 > 正文

VMware修复漏洞在中国天福杯黑客比赛中展示

最后更新 :2022.02.24

VMware涉及在中国天府杯黑客竞赛期间披露的几个高度严重性缺陷。

VMware讨论了众多高度严重性的漏洞,该漏洞是由昆仑实验室队在中国天府杯2021年黑客竞赛中展示的高度严重性漏洞。漏洞影响VMware ESXi,工作站和融合。

以下是虚拟化巨头发布的列表:

cve-2021-22040 VMware ESXi,Workstation和Fusion包含XHCI USB中的使用后漏洞控制器。虚拟机上具有本地管理权限的恶意演员可以利用此问题来执行代码作为在主机上运行的虚拟机VMX进程的代码。 CVE-2021-22041  VMware ESXi,Workstation和Fusion包含UHCI USB控制器中的双重漏洞。虚拟机上具有本地管理权限的恶意演员可能会利用此问题要执行代码作为在主机上运行的虚拟机VMX进程。 CVE-2021-22042  VMware ESXi包含一个由于VMX访问Settersd授权票数,未经授权的访问漏洞。仅在VMX进程内具有权限的恶意演员,可能可以访问运行作为高特权用户的SettingsD服务。 CVE-2021-22043  VMware ESXi包含在处理临时文件的方式中存在的toctou(检查时间使用时间)漏洞。一个恶意演员,可以通过编写任意文件来利用这个问题来剥削他们的权限。 VMware还报告说,发现缺陷的白帽黑客首先向中国政府报告他们通过当地法律,命令发现零天的研究人员与政府当局分享他们的调查结果。 这些问题被发现为部分努力杯的一部分,这是VMware参与的中国安全事件。这些漏洞被依照他们的法律,VMware&NBSP发现了他们的研究人员向中国政府报告了中国政府;

- END -

看更多