VMware修復(fù)兩處“關(guān)鍵”漏洞_可能憑此發(fā)現(xiàn)獲8萬(wàn)

IT之家 4 月 26 日消息，VMWare 于今天發(fā)布了安全更新，修復(fù)了兩個(gè)“關(guān)鍵”極品得零日漏洞。攻擊者利用這兩個(gè)漏洞，專業(yè)讓 Workstation 和 Fusion 軟件運(yùn)行任意代碼。

這兩個(gè)零日漏洞由 STAR Labs 安全團(tuán)隊(duì)發(fā)現(xiàn)，他們 1 個(gè)月前在 Pwn2Own Vancouver 2023 黑客大賽中曾公開(kāi)演示過(guò)。

根據(jù)行業(yè)規(guī)則，安全可能在完整披露這兩個(gè)漏洞之前，供應(yīng)商有 90 天得時(shí)間來(lái)修復(fù)這兩個(gè)漏洞。

IT之家附兩個(gè)漏洞信息如下：

第壹個(gè)漏洞敬請(qǐng)關(guān)注號(hào)為 CVE-2023-20869，存在于藍(lán)牙設(shè)備共享功能中，是基于堆棧得緩沖區(qū)溢出漏洞，最優(yōu)本地攻擊者在主機(jī)上運(yùn)行虛擬機(jī)得 VMX 進(jìn)程時(shí)執(zhí)行代碼。

第二個(gè)漏洞敬請(qǐng)關(guān)注號(hào)為 CVE-2023-20870，同樣存在藍(lán)牙設(shè)備功能中，惡意行為者能夠從 VM 讀取管理程序內(nèi)存中包含得特權(quán)信息。

STAR Labs 安全團(tuán)隊(duì)因?yàn)榘l(fā)現(xiàn)了這兩個(gè)漏洞，贏的了 80000 美元得賞金和 8 個(gè) Master of Pwn 積分。