VM虚拟机重大漏洞 立即升级

其中有两个漏洞已经完全破坏了 VMware 产品的根本目的：恶意软件可以直接逃逸后感染宿主机，进而对其他宿主机、内部网络、其他虚拟机都造成严重威胁。

受影响的产品也包括各位用户使用的 VMware Workstation Pro 虚拟机软件，因此请要么卸载 VMware 要么就立即更新，避免存在安全缺陷。

受影响的产品包括：

VMware ESXi 8.0，需升级到 VMware ESXi80U2sb-23305545 版

VMware ESXi 8.0 [2]，需升级到 VMware ESXi80U1d-23299997 版

VMware ESXi 7.0，需升级到 VMware ESXi70U3p-23307199 版

VMware Workstation Pro/Player 17.x 版，需升级到 17.5.1 版

VMware Fusion 13.x 版，需升级到 VMware Fusion 13.5.1 版

下载地址：

使用 VMware Workstation Pro 虚拟机的用户请点击这里直接下载新版本覆盖升级： https://download3.vmware.com/software/WKST-1751-WIN/VMware-workstation-full-17.5.1-23298084.exe

下面是漏洞概述：

CVE-2024-22252：XHCI USB 控制器中的 UaF 漏洞，具有虚拟机本地管理权限的用户可以在主机上运行的 VMX 进程执行代码，实际上也就是从沙盒里逃逸了，可以直接侵入宿主机。

CVE-2024-22253：UHCI USB 控制器中的 UaF 漏洞，情况与 CVE-2024-22252 类似。

CVE-2024-22254：越界后写入漏洞，此漏洞使得在 VMX 进程中拥有特权的人可以触发越界写入进而导致沙箱逃逸。

CVE-2024-22255：UHCI USB 控制器中的信息泄露漏洞，具有虚拟机管理访问权限的人可以利用此漏洞从 VMX 进程中泄露内存。