首頁 > 安全研究 > 安全通報 > 安全通告

VMware Tools 修復 vm3dmp 和 ALSA 的兩個漏洞安全通告

發布時間 2019-06-11

漏洞編號和級別



CVE編號:CVE-2019-5522,危險級別:高危,CVSS分值:廠商自評:7.1,官方:7.1

CVE編號:CVE-2019-5525,危險級別:高危,CVSS分值:廠商自評:8.5,官方:8.8



影響版本



受影響的版本


適用于Windows 10.x的VMware Tools < 10.3.10。


適用于Linux的VMware Workstation Pro / Player(Workstation)< 15.1.0。



漏洞概述



VMware Tools 修復 vm3dmp 驅動和 ALSA 的兩個漏洞:


CVE-2019-5522


VMware Tools是美國威睿(VMware)公司的一套VMWare虛擬機自帶的增強工具,它是VMware提供的用于增強虛擬顯卡和硬盤性能、以及同步虛擬機與主機時鐘的驅動程序。


VMware Tools更新解決了vm3dmp驅動程序中的一個越界讀取漏洞,該驅動程序隨Windows客戶機中的VMware Tools一起安裝。對安裝了VMware Tools的Windows guest虛擬機具有非管理訪問權限的本地攻擊者可能會在同一Windows guest計算機上泄漏內核信息或創建拒絕服務攻擊。


CVE-2019-5525


VMware Workstation是美國威睿(VMware)公司的一套虛擬機軟件。該軟件提供可以同時運行多個不同的操作系統的虛擬機功能。


VMware Workstation(15.1.0之前的15.x)包含高級Linux聲音體系結構(ALSA)后端中的釋放后重用漏洞。 在客戶機上具有普通用戶權限的惡意用戶可能會將此問題與其他問題結合使用,以在安裝了Workstation的Linux主機上執行代碼。



漏洞驗證



暫無POC/EXP。



修復建議



目前廠商已發布新版本以修復漏洞,將適用于Windows 10.x的VMware Tools更新到10.3.10;將Workstation 15.x更新到15.1.0。下載鏈接如下:


VMware Tools 10.3.10
Downloads and Documentation:
https://docs.vmware.com/en/VMware-Tools/index.html

https://my.vmware.com/web/vmware/details?downloadGroup=VMTOOLS10310&productId=742


VMware Workstation Pro 15.1.0
Downloads and Documentation:
https://www.vmware.com/go/downloadworkstation

https://docs.vmware.com/en/VMware-Workstation-Pro/index.html


VMware Workstation Player 15.1.0
Downloads and Documentation:
https://www.vmware.com/go/downloadplayer

https://docs.vmware.com/en/VMware-Workstation-Player/index.html



參考鏈接



https://www.vmware.com/security/advisories/VMSA-2019-0009.html 

上一篇 下一篇