VMware Workstation等多款产品曝高危漏洞 应立即升级

VMwareWorkstation等多款产品曝高危漏洞应立即升级受影响的产品也包括各位用户使用的VMwareWorkstationPro虚拟机软件，因此请要么卸载VMware要么就立即更新，避免存在安全缺陷。受影响的产品包括：VMwareESXi8.0，需升级到VMwareESXi80U2sb-23305545版VMwareESXi8.0[2]，需升级到VMwareESXi80U1d-23299997版VMwareESXi7.0，需升级到VMwareESXi70U3p-23307199版VMwareWorkstationPro/Player17.x版，需升级到17.5.1版VMwareFusion13.x版，需升级到VMwareFusion13.5.1版下载地址：使用VMwareWorkstationPro虚拟机的用户请点击这里直接下载新版本覆盖升级：https://download3.vmware.com/software/WKST-1751-WIN/VMware-workstation-full-17.5.1-23298084.exe下面是漏洞概述：CVE-2024-22252：XHCIUSB控制器中的UaF漏洞，具有虚拟机本地管理权限的用户可以在主机上运行的VMX进程执行代码，实际上也就是从沙盒里逃逸了，可以直接侵入宿主机。CVE-2024-22253：UHCIUSB控制器中的UaF漏洞，情况与CVE-2024-22252类似。CVE-2024-22254：越界后写入漏洞，此漏洞使得在VMX进程中拥有特权的人可以触发越界写入进而导致沙箱逃逸。CVE-2024-22255：UHCIUSB控制器中的信息泄露漏洞，具有虚拟机管理访问权限的人可以利用此漏洞从VMX进程中泄露内存。临时解决方案：从漏洞描述中可以看到三个漏洞与USB控制器有关，因此VMware提供的临时解决方案是直接删除USB控制器，如果你现在无法升级到最新版本的话。删除USB控制器会导致虚拟/模拟的USB设备包括U盘或者加密狗等无法使用，也无法使用USB直通功能，但鼠标和键盘不受影响，键鼠并不是通过USB协议连接的，删除USB控制器后可以继续用。需要提醒的是有些虚拟机例如MacOSX本身不支持PS/2键鼠，这些系统没有鼠标和键盘，也没有USB控制器。...PC版：https://www.cnbeta.com.tw/articles/soft/1422744.htm手机版：https://m.cnbeta.com.tw/view/1422744.htm