首頁 > 安全研究 > 安全通報 > 安全通告

VMware越界讀寫漏洞安全通告

發布時間 2019-08-06

? 漏洞編號和級別


CVE編號:CVE-2019-5521,危險級別:高危,CVSS分值:廠商自評:6.3-7.7,官方未評定
CVE編號:CVE-2019-5684,危險級別:高危,CVSS分值:廠商自評:8.5,官方未評定


影響版本


受影響的版本

 


漏洞概述


VMware ESXi等都是美國威睿(VMware)公司的產品。VMware ESXi是一套可直接安裝在物理服務器上的服務器虛擬化平臺。VMware Workstation是一套虛擬機軟件。VMware Workstation Player是一套免費開源的且功能較簡單的虛擬機軟件。VMware Fusion是一套專用于在蘋果機(Mac)上運行Windows應用程序的的虛擬機軟件。NVIDIA graphics driver等都是美國英偉達(NVIDIA)公司的產品。NVIDIA graphics driver是一款圖形驅動器。


Vmware ESXi、Workstation和Fusion中存在如下漏洞。利用這些漏洞需要攻擊者訪問啟用了3D圖形的虛擬機。默認情況下,它不在ESXi上啟用,默認情況下在Workstation和Fusion上啟用。


CVE-2019-5521 - 越界讀取漏洞

成功利用越界讀取問題可能會導致信息泄露,或者可能允許具有正常用戶權限的攻擊者在主機上創建拒絕服務條件。


CVE-2019-5684 - 越界寫入漏洞

僅當主機具有受影響的NVIDIA圖形驅動程序時,才能利用越界寫入問題。成功利用此問題可能會導致主機上的代碼執行。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://www.vmware.com/security/advisories/VMSA-2019-0012.html。


也可以通過安裝更新的NVIDIA圖形驅動程序來修復CVE-2019-5684:https://nvidia.custhelp.com/app/answers/detail/a_id/4841。


參考鏈接


https://www.vmware.com/security/advisories/VMSA-2019-0012.html

上一篇 下一篇