打造更强大的虚拟化体验-博通与VMware-Workstation合作

近日，博通发布了安全公告，宣布推出了VMwareWorkstation17.5.2和Fusion13.5.2版本，主要是为了修复四项安全漏洞。在这些漏洞中，评级最高的是CVE-2024-22267，被认为是一个重大级别的漏洞，属于虚拟蓝牙设备组件（vbluetooth）中的UseAfterFree类型RAM漏洞（指在释放了某部分RAM后，程序继续使用了已释放的RAM区域）。黑客如果获取了本地管理员权限，就可以利用这个漏洞通过VMX进程在虚拟机上执行恶意代码。其余三个漏洞CVE-2024-22268、CVE-2024-22269和CVE-2024-22270的CVSS评分都为7.1，属于高风险漏洞。

其中CVE-2024-22269和CVE-2024-22270是信息泄露漏洞，分别存在于虚拟蓝牙设备和主机/虚拟机文件共享系统（HostGuestFileSystem，HGFS）中。而CVE-2024-22268与Shader组件有关，是一个内存缓冲区溢出漏洞。这四个漏洞中，除了CVE-2024-22268外，其他三个都来自于漏洞挖掘竞赛Pwn2Own Vancouver 2024，由安全公司Theori和Star Labs SG组成的团队发现。而CVE-2024-22268漏洞是由悬赏项目Zero Day Initiative发现的。