IT之家 4 月 26 日消息,VMWare 于今天发布了安全更新,修复了两个“关键”极品得零日漏洞。攻击者利用这两个漏洞,专业让 Workstation 和 Fusion 软件运行任意代码。
这两个零日漏洞由 STAR Labs 安全团队发现,他们 1 个月前在 Pwn2Own Vancouver 2023 黑客大赛中曾公开演示过。
根据行业规则,安全可能在完整披露这两个漏洞之前,供应商有 90 天得时间来修复这两个漏洞。
IT之家附两个漏洞信息如下:
第壹个漏洞敬请关注号为 CVE-2023-20869,存在于蓝牙设备共享功能中,是基于堆栈得缓冲区溢出漏洞,最优本地攻击者在主机上运行虚拟机得 VMX 进程时执行代码。
第二个漏洞敬请关注号为 CVE-2023-20870,同样存在蓝牙设备功能中,恶意行为者能够从 VM 读取管理程序内存中包含得特权信息。
STAR Labs 安全团队因为发现了这两个漏洞,赢的了 80000 美元得赏金和 8 个 Master of Pwn 积分。
