VMware发布了一系列安全漏洞的补丁请立即更新

VMware修补了影响其多个关键业务产品的大量安全漏洞-鉴于其中一些漏洞严重程度较高，并允许恶意行为者远程执行代码，该公司建议用户立即应用补丁。

根据VMware的安全公告，该公司修补了四个漏洞：CVE-2024-22252、CVE-2024-22253、CVE-2024-22254和CVE-2024-22255。这些漏洞影响ESXi、Workstation和Fusion产品。

前两个漏洞被描述为XHCIUSB控制器中的释放后使用漏洞，影响所有三款产品。对于Workstation和Fusion，它们的严重性评分为9.3，而对于ESXi，则为8.4。

该公司表示：“在虚拟机上拥有本地管理权限的恶意行为者可能会利用此问题以在主机上运行虚拟机VMX进程的形式执行代码。”“在ESXi上，漏洞利用包含在VMX沙箱中，而在Workstation和Fusion上，这可能导致在安装Workstation或Fusion的机器上执行代码。”

另外两个漏洞被描述为ESXi中的越界写入漏洞(严重性评分7.9)和UHCIUSB控制器中的信息泄露漏洞(严重性评分7.9)。这两个漏洞可用于逃离沙盒并泄漏vmx进程的内存。

为了确保其端点安全，用户应将产品升级至以下版本：

ESXi6.5-6.5U3v

ESXi6.7-6.7U3u

ESXi7.0-ESXi70U3p-23307199

ESXi8.0-ESXi80U2sb-23305545和ESXi80U1d-23299997

VMwareCloudFoundation(VCF)3.x

Workstation17.x-17.5.1

Fusion13.x(macOS)-13.5.1

那些无法立即应用补丁的用户应该从他们的虚拟机中删除所有USB控制器，作为一种解决方法。

该公司表示：“此外，虚拟机将无法使用虚拟/模拟USB设备，例如VMware虚拟USB棒或加密狗。相比之下，默认的键盘/鼠标作为输入设备不受影响，因为它们默