VMware已修复三个严重问题 缺陷 在其产品中,包括Workstation和Fusion中的一个关键问题,该问题允许主机上的代码从 客人 .
VMware解决了其产品中的三个严重漏洞,包括Workstation和Fusion中的一个严重漏洞,可以利用该漏洞来
跟踪为CVE-2020-3947的严重漏洞是组件中的抢先使用漏洞,它的CVSSv3基本得分为9.3。
“ VMware Workstation和Fusion在以下方面包含一个使用后漏洞:
“成功利用此问题可能会导致来宾在主机上执行代码,或者可能使攻击者创建主机上运行的vmnetdhcp服务的拒绝服务条件。”
攻击者可能利用此漏洞从来宾在主机上执行代码,这可能使攻击者触发对主机的拒绝服务条件。
VMware解决的另一个问题(跟踪为CVE-2020-3948)是Cortado中的本地特权升级漏洞。
这是一个严重性很高的漏洞,本地攻击者可能会利用此漏洞,以非管理员身份访问安装了VMware Tools的Linux来宾虚拟机(VM),以将特权升级到同一VM中的root用户。
“由于Cortado中的文件权限不正确,在VMware Workstation和Fusion上运行的Linux Guest VM包含本地特权升级漏洞。
“具有对安装了VMware Tools的Linux来宾VM的非管理访问权限的本地攻击者可能会利用此问题来提升他们在同一来宾VM上root的特权。”
缺陷影响Workstation 15
“对于适用于Windows的VMware Horizon Client,适用于Windows的VMRC和适用于Windows的工作站,发现包含VMware USB仲裁服务的配置文件的文件夹可被所有用户写入。 VMware已评估此问题的严重性为 重要严重程度范围 最高CVSSv3基本得分为 7.3。” 继续咨询。
“安装了软件的系统上的本地用户可能会利用此问题以任何用户身份运行命令。”
VMWare通过发布适用于Windows 15.5.2的Workstation,适用于Windows 5.3.0的VMware Horizon Client和适用于Windows 11.0.0的VMRC来解决此缺陷。
|
(
分享
来源:https://securityaffairs.co/wordpress/99578/security/vmware-workstation-critical-bug.html