紧急通告:VMware虚拟机软件发现严重漏洞,切勿疏忽,务必立即升级!

图片[1]-紧急通告:VMware虚拟机软件发现严重漏洞,切勿疏忽,务必立即升级!-零度博客

昨晚,虚拟化产品领军企业VMware发布了一份安全公告,揭示了四个高危漏洞。这些漏洞为黑客和恶意软件提供了机会,能够绕过沙箱和虚拟机管理程序的保护,对宿主机的安全构成直接威胁。

其中两个漏洞已经彻底破坏了VMware产品的核心目标,使得恶意软件得以直接逃逸,感染宿主机,从而对其他宿主机、内部网络以及其他虚拟机造成严重威胁。

受影响的产品范围还包括广泛使用的VMware Workstation Pro虚拟机软件。因此,建议用户要么立即卸载VMware,要么立即进行更新,以避免潜在的安全漏洞。务必保持软件的最新版本,以确保系统安全性。

受漏洞影响的产品包括:

VMware Workstation Pro/Player 17.x 版,需升级到 17.5.1 版

VMware ESXi 8.0,需升级到 VMware ESXi80U2sb-23305545 版

VMware ESXi 8.0 [2],需升级到 VMware ESXi80U1d-23299997 版

VMware ESXi 7.0,需升级到 VMware ESXi70U3p-23307199 版

VMware Fusion 13.x 版,需升级到 VMware Fusion 13.5.1 版

 

如果你跟我一样,使用的是VMware Workstation Pro 虚拟机,

请点击这里直接下载新版本覆盖升级 【官方下载】或【网盘下载

教程

 

VMware ESXi  主机升级教程看这里:https://bbs.freedidi.com/t/topic/95

漏洞概述:

  1. CVE-2024-22252:XHCI USB控制器中存在UaF漏洞,具备虚拟机本地管理权限的用户可在主机上运行的VMX进程中执行代码,实质上逃逸沙盒,直接威胁宿主机安全。
  2. CVE-2024-22253:UHCI USB控制器中存在UaF漏洞,情况类似于CVE-2024-22252。
  3. CVE-2024-22254:越界后写入漏洞,VMX进程中特权用户可触发越界写入,导致沙箱逃逸。
  4. CVE-2024-22255:UHCI USB控制器中的信息泄露漏洞,拥有虚拟机管理访问权限的人可利用此漏洞从VMX进程中泄露内存。

临时解决方案:

从漏洞描述中可见,三个漏洞与USB控制器有关。因此,VMware提供的临时解决方案是直接删除USB控制器,如果目前无法升级到最新版本。

尽管删除USB控制器会导致虚拟/模拟的USB设备(如U盘或加密狗)无法使用,也无法使用USB直通功能,但鼠标和键盘不受影响。这是因为键鼠并非通过USB协议连接,删除USB控制器后仍可正常使用。

需注意的是,一些虚拟机,如Mac OS X,本身不支持PS/2键鼠,这些系统没有鼠标和键盘,也没有USB控制器。

THE END
喜欢就支持一下吧
点赞2177 分享
ChatTTS  本地部署教程!目前最好用的文字转语音工具!-零度博客

ChatTTS 本地部署教程!目前最好用的文字转语音工具!

1.安装Python 和 git环境,python需要 3.9+ 版本,比如我选择python 3.10.6 【点击下载】 然后安装下git环境:【官方下载】 2.下载 chatTTS-ui  【点击下载】 3.解压后在根目录下输入CMD进入终...
admin的头像-零度博客admin
3.1W+2180
7个非常有意思的暗网!附暗网V2、V3域名生成和访问教程-零度博客

7个非常有意思的暗网!附暗网V2、V3域名生成和访问教程

  https://youtu.be/qySXEKVo0vA   ======================   优雅的分割线........................   7个暗网地址和所需开源工具:【链接】      
admin的头像-零度博客admin
1.8W+1091
如何检查电脑是否中病毒?只靠杀毒软件吗?当然不是-零度博客
Notion 添加中文语言!实现全平台的汉化教程!支持客户端、网页版、手机端等 | 零度解说-零度博客
电脑 越用越卡的罪魁祸首! 该如何解决?以下七种方法最好要知道 | 零度解说-零度博客
7个有趣又超好玩的网站!你都玩过几个? | 零度解说-零度博客

7个有趣又超好玩的网站!你都玩过几个? | 零度解说

https://youtu.be/kvekwim2u9o?si=kC5Cfz8NrE1BQmnx ================= 7个有趣好玩的网站:https://www.freedidi.com/10660.html
admin的头像-零度博客admin
1.7W+1682
Windows 10 专业工作站版、专业版下载-零度博客

Windows 10 专业工作站版、专业版下载

    Windows 10 专业工作站版、专业版:【点击下载】   详细的选择、安装教程:【看这里】
admin的头像-零度博客admin
2.3W+2251
免费白嫖 Deepseek R1 满血版!这10个平台可以收藏-零度博客

免费白嫖 Deepseek R1 满血版!这10个平台可以收藏

 腾讯元宝:【链接直达】英伟达:【链接直达】百度:【链接直达】Deepinfra:【链接直达】Flowith:【链接直达】Lambda:【链接直达】有道:【链接直达】天工ai:【链接直达】华为小艺ai网页版...
这些密码【黑客破解】只需1秒!!请立即更改掉这13个数字和字母....(2024) | 零度解说-零度博客