VMware上周發(fā)布的針對macOS版本的Fusion的更新試圖修復由先前補丁引入的嚴重特權升級漏洞��。
VMware于3月中旬通知客戶�,它已在Fusion,遠程控制臺(VMRC)和Horizon Client for Mac中修補了一個高嚴重性特權升級漏洞���。漏洞被跟蹤為CVE-2020-3950���,可以由具有常規(guī)用戶特權的攻擊者利用,以將特權升級為root��。
獨立向VMware,Rich Mirch和Jeffball報告此問題的研究人員立即指出�,該補丁不完整。VMware確認幾天后補丁未完成����。
最初的補丁發(fā)布大約一周后,VMware再次嘗試修復該漏洞����,但是第二次修復引入了一個新漏洞。
跟蹤為CVE-2020-3957的新缺陷被描述為“檢查時使用時間”(TOCTOU)錯誤��,仍然使低權限攻擊者能夠以root特權執(zhí)行任意代碼�����。
VMware上周嘗試通過11.5.5版本修復Fusion中的TOCTOU漏洞��,但針對VMRC和Horizon Client for Mac的補丁尚未發(fā)布��。
Mirch計劃在未來幾天內發(fā)布博客文章和針對該漏洞的新概念驗證(PoC)漏洞���,他告訴SecurityWeek,他的初步測試表明該補丁有效�����。他說他尚未進行全面評估。
除此漏洞外��,VMware上周還通知客戶�����,它已發(fā)布ESXi�,Workstation和Fusion的更新程序,以解決幾個中等嚴重程度的拒絕服務(DoS)漏洞��。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯網舉報中心
網絡舉報APP下載
