发布日期:2012-06-13
更新日期:2012-06-15
受影响系统:
VMWare Workstation 8.x
VMWare Workstation 7.x
VMWare Player 4.x
VMWare Player 3.x
VMWare ESX Server 4.x
VMWare ESX Server 3.x
VMWare ESXi 5.x
VMWare ESXi 4.x
VMWare ESXi 3.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2012-3288,CVE-2012-3289
VMWare是一个“虚拟PC”软件,它使你可以在一台机器上同时运行二个或更多Windows、DOS、LINUX系统。
多个VMware产品在解析Checkpoint文件时存在输入验证错误,可被恶意用户利用执行任意代码,控制用户系统。
1) 在加载Checkpoint文件时,输入的数据没有正确验证,可被利用在主机上执行任意代码。
2) 在物理连接到没有运行虚拟机的系统上时,虚拟机可用的设备被称为远程设备,来自远程虚拟设备的流量没有被正确处理。可允许攻击者使虚拟机崩溃。
建议:
--------------------------------------------------------------------------------
厂商补丁:
VMWare
------
VMWare已经为此发布了一个安全公告(VMSA-2012-0011)以及相应补丁:
VMSA-2012-0011:VMware hosted products and ESXi and ESX patches address security issues