VMware修補虛擬化平臺重大層級的資安漏洞

7月15日VMware針對旗下的虛擬化平臺ESXi、Workstation、Fusion，以及虛擬機公用程式Tools發布軟體更新，目的是修補一系列的資安漏洞CVE-2025-41236、CVE-2025-41237、CVE-2025-41238、CVE-2025-41239，值得留意的是，這4項弱點當中，有3項評為重大層級，且都源自漏洞挖掘競賽Pwn2Own參賽者的發現。

這些漏洞影響的範圍也相當廣，涵蓋所有7.0與8.0版VMware ESXi、17.x版VMware Workstation、13.x版VMware Fusion，以及Windows版本的VMware Tools。此外，搭載ESXi的Cloud Foundation、vSphere Foundation、Telco Cloud Platform、Telco Cloud Infrastructure平臺，也可能曝險。

根據CVSS風險評分，最危險的漏洞包含了VMXNET3虛擬網卡整數溢位漏洞CVE-2025-41236、虛擬機器通訊介面（VMCI）整數下溢漏洞CVE-2025-41237、半虛擬化SCSI（PVSCSI）記憶體溢位漏洞CVE-2025-41238，一旦成功利用這些漏洞，攻擊者就有機會於主機執行任意程式碼。根據受影響應用程式，這些漏洞的危險程度也有所差異，嚴重評分介於7.4至9.3。

不過，若要觸發上述3項漏洞，需滿足特定條件，那就是攻擊者必須在虛擬機器取得本機管理員權限，此外，CVE-2025-41236也要在採用VMXNET3網卡的虛擬機器才能利用。