VMware Workstation 6.0存在多个安全漏洞
来源:岁月联盟
时间:2007-11-21
VMWare VMWare Workstation 6.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25728,25729,25731,25732
CVE(CAN) ID: CVE-2007-0061,CVE-2007-0062,CVE-2007-0063,CVE-2007-4059,CVE-2007-4155,CVE-2007-4496,CVE-2007-4497
VMWare是一款虚拟PC软件,允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。
VMWare的实现上存在多个安全漏洞,可导致多种威胁。
具体如下:
1) VMWare的DHCP服务器可被恶意网页用来获取系统权限。
2) VMWare的IntraProcessLogging.dll和vielib.dll程序库可被用来覆盖系统上的任意文件。
3) 虚拟机操作系统中具有管理权限的用户可以导致主机系统中的进程发生内存破坏,从而在主机系统上执行任意指令。
4) 虚拟机操作系统中的用户可以导致主机系统中的进程失去响应异常退出,从而使主机系统不可用。
5) Workstation使用未加引号括起来的路径启动系统服务,本地安全者可能利用此漏洞执行恶意程序,获得权限提升。
<*来源:Neel Mehta
Ryan Smith (ryan@hustlelabs.com)
链接:http://www.vmware.com/support/ws6/doc/releasenotes_ws6.html
http://secunia.com/advisories/26890/
http://lists.grok.org.uk/pipermail/full-disclosure/2007-September/065902.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
VMWare
------
目前厂商已经在最新版本的软件中修复了这些安全问题,请到厂商的主页下载:
http://www.vmware.com
