VMware修复ESXi虚拟机管理程序中的关键缺陷

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:2020-11-23
外媒消息,在中国举行的天府杯黑客挑战赛上,一个参赛团队发现VMware旗下ESXi虚拟机管理程序中的严重漏洞目前已经被修复。


据称,在几周前的赛事中所发现的这个漏洞,在释放后使用漏洞(CVE-2020-4004)的CVSS得分为9.3(满分10分),可以说非常严重。它存在于ESXi的可扩展主机控制器接口(XHCI)USB控制器中。XHCI是一种接口规范。

VMware的建议称,攻击者随后将能够以运行在主机上的虚拟机可执行文件(VMX)进程的身份执行代码。VMX进程在VMkernel中运行,负责处理对性能不重要的设备I/O。

360的参赛团队成员被认为是在2020年天府杯赛事中该漏洞的发现者。根据天府杯的官方社交媒体账号看,虽然没有透露漏洞和利用漏洞的更多细节,但该团队“一下子root了该主机的操作系统”。