VMWare重大漏洞可让Guest OS软件在主机OS上执行

VMWare多项产品存在一项可能让Guest OS软件跑到主机OS上执行的权限升级漏洞。VMWare已在周四发出修补程式将之修复。

编号CVE-2018-6974的漏洞出在其SVGA影像装置模拟元件，它在处理SVGA影像过程中未进行适当验证，而可能导致堆叠式缓冲溢位、产生越界读取（out-of-bounds read）错误。发现本项漏洞的趋势科技ZDI Lab指出，结合其他漏洞，攻击者可以让Guest OS中的程式码或恶意软件在主机OS上执行。

本项漏洞被列为重大风险，影响产品包括VMware ESXi 5.5/6.0/6.5/6.7、workstation 14.x、15.x，以及执行于OS X上的Fusion 10.x和11.x。VMWare也呼吁用户尽速下载安装更新程式。