VMware修复4大关键漏洞，破坏力惊人！

VMware 已紧急发布安全补丁，修复其 ESXi、Workstation、Fusion 及 Cloud Foundation 产品中的四个关键级别沙箱逃逸漏洞。这些漏洞编号为 CVE-2024-22252、CVE-2024-22253、CVE-2024-22254 和 CVE-2024-22255，CVSS v3 分值介于 7.1 至 9.3 之间。一旦被利用，攻击者可突破虚拟机限制，访问并操控主机操作系统，甚至影响同一主机上的其他虚拟机。VMware建议用户尽快应用补丁，并提供了临时解决方案以减轻风险。

VMware 已发布安全补丁，针对其多个产品中的沙箱逃逸漏洞进行了修复。这些漏洞存在于 VMware ESXi、Workstation、Fusion 以及 Cloud Foundation 中，潜在威胁在于攻击者可能突破虚拟机限制，进而访问主机操作系统。此次发布的公告提到了四个漏洞，分别被标记为 CVE-2024-22252、CVE-2024-22253、CVE-2024-22254 和 CVE-2024-22255，其 CVSS v3 分值范围从 7.1 至 9.3，均被评为“关键”级别。此类漏洞的危害性极高，一旦被成功利用，攻击者便能在未获授权的情况下操控主机系统，甚至干扰同一主机上的其他虚拟机。

CVE-2024-22252 和 CVE-2024-22253：

分别涉及 XHCI 和 UHCI USB 控制器中的 Use-after-free 漏洞，影响范围涵盖 Workstation/Fusion 和 ESXi 平台。要利用这些漏洞，攻击者需先获得虚拟机的本地管理权限。在 Workstation 和 Fusion 环境下，攻击者能够通过虚拟机的 VMX 进程执行任意代码。

CVE-2024-22254：

属于 ESXi 中的一个 Out-of-bounds 漏洞，持有 VMX 进程权限的攻击者可向指定内存边界外写入数据，从而引发沙箱逃逸风险。

CVE-2024-22255：

是 UHCI USB 控制器中的信息泄露问题，同样影响 ESXi、Workstation 和 Fusion。

下表总结了受影响的产品版本及其对应的修复版本：

根据系统之家的报道，针对 CVE-2024-22252、CVE-2024-22253 和 CVE-2024-22255 的临时解决方案建议用户按照供应商提供的指南从虚拟机中移除 USB 控制器。然而，这一措施可能会对部分配置下的键盘、鼠标及 USB 设备的正常使用造成影响。

到这里，我们也就讲完了《VMware修复4大关键漏洞，破坏力惊人！》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！