據(jù)外媒報(bào)道，網(wǎng)絡(luò)安全公司 Comixuris UG 研究人員 Nico Golde 與 Ralf-Philipp Weinmann 于今年 6 月發(fā)現(xiàn)全球虛擬化軟件研發(fā)與銷售企業(yè) VMware 的 ESXi、vCenter 服務(wù)器、Workstation 與 Fusion 產(chǎn)品中存在多處漏洞，允許攻擊者在獲取用戶低等特權(quán)時(shí)執(zhí)行任意代碼。近期，VMware 研究人員在線發(fā)布漏洞補(bǔ)丁修復(fù)程序。

調(diào)查顯示，上述產(chǎn)品漏洞中最為嚴(yán)重的一處與 SVGA 設(shè)備的越界寫入有關(guān)，其編號(hào)為 CVE-2017-4924（ CVSS 分值為 6.2）。SVGA 是一臺(tái)由 VMware 虛擬化產(chǎn)品實(shí)現(xiàn)舊版虛擬圖像顯卡儀器，而該漏洞允許攻擊者在 SVGA 主機(jī)上執(zhí)行任意代碼。目前，OS X 上的 ESXi 6.5、Workstation 12.x 與 Fusion 8.x 產(chǎn)品普遍遭受影響。

研究人員發(fā)布的第二處漏洞（CVE-2017-4925）被列為中等危害，其主要影響 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本與 Fusion 8.x 版本。值得注意的是，具有正常用戶權(quán)限的攻擊者可以利用此漏洞破壞其虛擬機(jī)設(shè)備。

第三處漏洞（CVE-2017-4926）也被列為中等危害，允許具有 VC 用戶權(quán)限的攻擊者可以在其他用戶訪問(wèn) XSS 頁(yè)面時(shí)執(zhí)行惡意 JavaScript 代碼。不過(guò)，研究人員發(fā)現(xiàn)該漏洞僅影響 vCenter Server H5 6.5 版本的客戶端設(shè)備。