VMware修复多个安全漏洞风险通告
发布时间 2020-01-17漏洞编号和级别
CVE编号:CVE-2020-3941,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定
CVE编号:CVE-2020-3940,危险级别:中危,CVSS分值:厂商自评:6.8,官方未评定
影响版本
CVE-2020-3941
VMware Tools for Windows 10.x.y
CVE-2020-3940
Workspace ONE SDK
Workspace ONE Boxer
Workspace ONE Content
Workspace ONE SDK Plugin for Apache Cordova
Workspace ONE Intelligent Hub
Workspace ONE Notebook
Workspace ONE People
Workspace ONE PIV-D
Workspace ONE Web
Workspace ONE SDK Plugin for Xamarin
漏洞概述
VMware已发布安全更新,修复了VMware Tools和Workspace ONE SDK中的漏洞。
VMware修复了Windows VMware Tools版本10.xy中的本地提权漏洞(CVE-2020-3941)。该漏洞被归类为竞争条件漏洞,攻击者可能利用此漏洞在虚拟机中提升特权。
VMware还修复了Workspace ONE SDK中的信息泄露漏洞(CVE-2020-3940),该漏洞影响了相关的iOS和Android APP。根据安全公告,如果启用了SSL Pinning,则在受影响的移动APP和Workspace ONE UEM设备服务之间的中间人(MITM)攻击者可能捕获传输中的敏感数据。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接见参考链接。
参考链接
https://www.vmware.com/security/advisories/VMSA-2020-0002.html
https://www.vmware.com/security/advisories/VMSA-2020-0001.html
京公网安备11010802024551号