VMWare重大漏洞可讓Guest OS軟體在主機OS上執行

VMWare多項產品存在一項可能讓Guest OS軟體跑到主機OS上執行的權限升級漏洞。VMWare已在周四發出修補程式將之修復。

編號CVE-2018-6974的漏洞出在其SVGA影像裝置模擬元件，它在處理SVGA影像過程中未進行適當驗證，而可能導致堆疊式緩衝溢位、產生越界讀取（out-of-bounds read）錯誤。發現本項漏洞的趨勢科技ZDI Lab指出，結合其他漏洞，攻擊者可以讓Guest OS中的程式碼或惡意軟體在主機OS上執行。

本項漏洞被列為重大風險，影響產品包括VMware ESXi 5.5/6.0/6.5/6.7、workstation 14.x、15.x，以及執行於OS X上的Fusion 10.x和11.x。VMWare也呼籲用戶儘速下載安裝更新程式。