在剛剛結束的黑客大賽PwnFest上，來自中國的360安全聯(lián)隊和韓國神童Lokihardt先后攻破VMware workstation，打破VMware在世界賽場上不敗的記錄。VMware官方在得到選手的漏洞細節(jié)反饋后，第一時間對賽中使用的漏洞進行了處理，緊急更新了針對該漏洞的安全補丁，并對協(xié)助VMware發(fā)現(xiàn)未知漏洞的360安全聯(lián)隊和Lokihardt進行了公開致謝。

在本屆PwnFest黑客大賽上，VMware workstation、微軟Edge瀏覽器、谷歌Pixel智能手機、Adobe Flash Player、蘋果Safari瀏覽器等五款產(chǎn)品遭參賽選手攻破，所有漏洞細節(jié)均第一時間提交給相關廠商。比賽結束后僅僅5天時間內(nèi)，VMware就緊急推出漏洞補丁，是最快修復漏洞的廠商。

　　圖：VMware緊急發(fā)布的漏洞補丁

據(jù)了解，該漏洞是針對個人桌面產(chǎn)品VMware workstation和Fusion的越界內(nèi)存訪問漏洞(漏洞編號CVE-2016-7461)，可以造成黑客通過虛擬機攻擊宿主機并實現(xiàn)遠程代碼執(zhí)行，企業(yè)級產(chǎn)品vSphere的安全性不受影響。目前，官網(wǎng)針對上述產(chǎn)品的不同版本都推送了安全補丁，個人用戶下載安裝后即可成功修復該漏洞。

當前，從桌面系統(tǒng)到服務器、從存儲系統(tǒng)到網(wǎng)絡，虛擬化平臺所涉及的層面極廣。它可以讓一部主機執(zhí)行多個虛擬化環(huán)境，在單一的桌面上同時運行不同的操作系統(tǒng)，還可以有效地提高資源利用率，解決令人頭疼的數(shù)據(jù)中心能耗，并節(jié)省費用投入。

VMware在服務器虛擬化市場占據(jù)著高達百分之七十以上的市場份額，并一直保持良好的安全口碑。在安全圈，對虛擬化平臺的逃逸和破解也一直被稱作黑客的頂級神技，除了七年前的舊版本曾有過被破解的傳說外，VMware一直都沒有被攻破的記錄。

今年的Pwn2Own黑客大賽上，VMware作為黑馬項目首次在世界賽場擺擂，主辦方ZDI懸賞7.5萬美元的獎金，也沒能吸引黑客成功挑戰(zhàn)。直到幾天前的PwnFest上，才首次實現(xiàn)了公開場合上針對VMware的破解。

　　圖：中國團隊在PwnFest上全球首次破解VMware

據(jù)了解，PwnFest黑客大賽由韓國POC(Power of Community)主辦，微軟、谷歌、蘋果、Adobe和VMware官方合作擔任評委，是迄今覆蓋項目最多、獎金最高的國際性黑客大賽。選手攻破各項目使用的漏洞細節(jié)都會及時提交給相應廠商，廠商也將隨即推出修復措施，保護全球用戶的安全。