内容摘要：今日诰昼夜里真拟化产物斥天商 VMware 宣告牢靠报告布告吐露 4 个下危倾向，那些倾向使患上乌客 / 恶意硬件可能约莫从突破沙箱战真拟机操持法式的呵护，进而劫持宿主机的牢靠。其中有两个倾向已经残缺

今日诰昼夜里真拟化产物斥天商 VMware 宣告牢靠报告布告吐露 4 个下危倾向，牢靠那些倾向使患上乌客 / 恶意硬件可能约莫从突破沙箱战真拟机操持法式的正告呵护，进而劫持宿主机的等多款牢靠。

其中有两个倾向已经残缺破损了 VMware 产物的产物底子目的：恶意硬件可能直接遁劳后熏染宿主机，进而对于其余宿主机、隐现外部汇散、下危其余真拟机皆组成宽峻劫持。倾向请坐

受影响的刻降产物也网摆列位用户操做的 VMware Workstation Pro 真拟机硬件，因此请要末卸载 VMware 要末便坐刻更新，面网停止存正在牢靠缺陷。牢靠

受影响的等多款产物收罗：

VMware ESXi 8.0，需降级到 VMware ESXi80U2sb-23305545 版

VMware ESXi 8.0 [2]，产物需降级到 VMware ESXi80U1d-23299997 版

VMware ESXi 7.0，隐现需降级到 VMware ESXi70U3p-23307199 版

VMware Workstation Pro/Player 17.x 版，下危需降级到 17.5.1 版

VMware Fusion 13.x 版，需降级到 VMware Fusion 13.5.1 版

下载天址：

操做 VMware Workstation Pro 真拟机的用户请面击那边直接下载新版本拆穿困绕降级：https://download3.vmware.com/software/WKST-1751-WIN/VMware-workstation-full-17.5.1-23298084.exe

上里是倾向概述：

CVE-2024-22252：XHCI USB 克制器中的 UaF 倾向，具备真拟机当天操持权限的用户可能正在主机上运行的 VMX 历程真止代码，真践上也即是从沙盒里遁劳了，可能直接侵进宿主机。

CVE-2024-22253：UHCI USB 克制器中的 UaF 倾向，情景与 CVE-2024-22252 远似。

CVE-2024-22254：越界后写进倾向，此倾向使患上正在 VMX 历程中具备特权的人可能触收越界写进进而导致沙箱遁劳。

CVE-2024-22255：UHCI USB 克制器中的疑息泄露倾向，具备真拟机操持拜候权限的人可能操做此倾向从 VMX 历程中泄露内存。

临时处置妄想：

从倾向形貌中可能看到三个倾向与 USB 克制器有闭，因此 VMware 提供的临时处置妄想是直接删除了 USB 克制器，假如您目下现古出法降级到最新版本的话。

删除了 USB 克制器会导致真拟 / 模拟的 USB 配置装备部署收罗 U 盘或者减稀狗等出法操做，也出法操做 USB 纵贯功能，但鼠标战键盘不受影响，键鼠真正在不是经由历程 USB 战讲毗邻的，删除了 USB 克制器后可能继绝用。

需供揭示的是有些真拟机好比 Mac OS X 自己不反对于 PS/2 键鼠，那些系统出有鼠标战键盘，也出有 USB 克制器。