VMware Tools 修复 vm3dmp 和 ALSA 的两个漏洞安全通告
发布时间 2019-06-11漏洞编号和级别
CVE编号:CVE-2019-5525,危险级别:高危,CVSS分值:厂商自评:8.5,官方:8.8
影响版本
受影响的版本
适用于Windows 10.x的VMware Tools < 10.3.10。
适用于Linux的VMware Workstation Pro / Player(Workstation)< 15.1.0。
漏洞概述
VMware Tools 修复 vm3dmp 驱动和 ALSA 的两个漏洞:
CVE-2019-5522
VMware Tools是美国威睿(VMware)公司的一套VMWare虚拟机自带的增强工具,它是VMware提供的用于增强虚拟显卡和硬盘性能、以及同步虚拟机与主机时钟的驱动程序。
VMware Tools更新解决了vm3dmp驱动程序中的一个越界读取漏洞,该驱动程序随Windows客户机中的VMware Tools一起安装。对安装了VMware Tools的Windows guest虚拟机具有非管理访问权限的本地攻击者可能会在同一Windows guest计算机上泄漏内核信息或创建拒绝服务攻击。
CVE-2019-5525
VMware Workstation是美国威睿(VMware)公司的一套虚拟机软件。该软件提供可以同时运行多个不同的操作系统的虚拟机功能。
VMware Workstation(15.1.0之前的15.x)包含高级Linux声音体系结构(ALSA)后端中的释放后重用漏洞。 在客户机上具有普通用户权限的恶意用户可能会将此问题与其他问题结合使用,以在安装了Workstation的Linux主机上执行代码。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布新版本以修复漏洞,将适用于Windows 10.x的VMware Tools更新到10.3.10;将Workstation 15.x更新到15.1.0。下载链接如下:
Downloads and Documentation:
https://docs.vmware.com/en/VMware-Tools/index.html
https://my.vmware.com/web/vmware/details?downloadGroup=VMTOOLS10310&productId=742
Downloads and Documentation:
https://www.vmware.com/go/downloadworkstation
https://docs.vmware.com/en/VMware-Workstation-Pro/index.html
Downloads and Documentation:
https://www.vmware.com/go/downloadplayer
https://docs.vmware.com/en/VMware-Workstation-Player/index.html
参考链接
京公网安备11010802024551号