安基网 首页 资讯 安全报 查看内容

「安全通报」VMware修复了Workstation和Fusion中的严重漏洞

2020-3-15 16:47| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,VMware发布了安全通报,表示已修复旗下产品的三个漏洞,其中包括Workstation和Fusion中从虚拟机向宿主机执行代码的严重漏洞CVE-2020-3947(其余两个漏洞和非法提权有关)。VMware是总部位于美国加州帕洛阿尔托的全球云基础架构和移动商务解决方案厂商,提供基于VMware ...

转载:nosec 作者:iso60001

近日,VMware发布了安全通报,表示已修复旗下产品的三个漏洞,其中包括Workstation和Fusion中从虚拟机向宿主机执行代码的严重漏洞CVE-2020-3947(其余两个漏洞和非法提权有关)。

VMware是总部位于美国加州帕洛阿尔托的全球云基础架构和移动商务解决方案厂商,提供基于VMware的各类虚拟化解决方案。VMware Workstation工作站软件包含一个用于英特尔x86相容电脑的虚拟机套装,可帮助用户同时创建和运行多个x86虚拟机。而VMware Fusion则是VMware面向苹果电脑推出的一款虚拟机软件。 ——百度百科

危害等级

高危

漏洞原理

CVE-2020-3947

VMware Workstation和Fusion在vmnetdhcp.VMware中包含Use-after-free(释放后使用)漏洞,成功利用此漏洞可导致虚拟机在宿主机上执行任意代码(也可引发DoS攻击),CVSS v3评分为9.3。

CVE-2020-3948

由于Cortado Thinprint中文件权限的设置错误,在VMware Workstation和Fusion上运行的Linux虚拟机存在非法提权漏洞。CVSS v3评分为7.8。只有在虚拟机中启用了虚拟打印功能时,才可能进行利用。不过默认情况下,Workstation和Fusion上尚未启用该功能。

攻击者可以利用该漏洞在虚拟机中将自己的权限提升到管理员。

CVE-2019-5543

在VMware Horizon Client For Windows、VMRC For Windows和Workstation For Windows中,包含VMware USB arbitration service服务配置文件的文件夹可被所有用户写入,该漏洞CVSS v3评分为7.3。


攻击者可能会利用此漏洞以任何用户的身份执行恶意命令。

漏洞影响

CVE-2020-3947

Workstation 15.x < 15.5.2

Fusion 11.x < 11.5.2

CVE-2020-3948

Workstation 15.x < 15.5.2

Fusion 11.x < 11.5.2

CVE-2019-5543

Horizon Client for Windows 5.x < 5.3.0 以及 5.0之前的版本

VMRC for Windows 10.x < 11.0.0

Workstation for Windows 15.x < 15.5.2

CVE编号

CVE-2020-3947

CVE-2020-3948

CVE-2019-5543

修复建议

目前官方已发表各项软件修复版本,可进入https://www.vmware.com/security/advisories/VMSA-2020-0004.html页面下载最新版本。

参考

[1] https://www.vmware.com/security/advisories/VMSA-2020-0004.html

[2] https://www.vmware.com/support/policies/security_response.html

[3] https://securityaffairs.co/wordpress/99578/security/vmware-workstation-critical-bug.html

[4] https://baike.baidu.com/item/VMware/5461553?fr=aladdin



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6804243975080247820/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部