提醒: VMWare 隔离逃逸漏洞—— 移除USB控制器或升级到17.5.1

漏洞编号:CVE-2024-22252, CVE-2024-22253, CVE-2024-22255

问题描述:简言之虚拟机的“USB控制器”(虚拟硬件)实现中发现漏洞,
虚拟机内获得管理员或Root权限的程序可透过该漏洞,
通过虚拟机在主机上负责隔离的vmware-vmx.exe在主机上(以系统权限)执行代码。

影响系统:所有平台 < 17.5.1 所有版本的 VMWare WorkStation。

影响程度:若虚拟机内是安全的系统,影响有限。
若虚拟机内系统用于使用非安全软件、浏览非安全网站等,建议参考官方建议及时采取临时措施或升级。

临时解决:在虚拟机设置中删除受影响虚拟机的虚拟“USB控制器”---不载入出现漏洞的USB支持功能
注:删除虚拟机的 “USB控制器” 对主机上的USB键盘鼠标在其中使用无影响 (虚拟键鼠为老式PS/2接口用不到USB)。

根本解决:
下载安装最新版本 WorkStation Pro 17.5.1 :(下载链接在官方页面内 Window & Linux)
https://customerconnect.vmware.com/downloads/info/slug/desktop_end_user_computing/vmware_workstation_pro/17_0#product_downloads

其他解决:
受影响的用途换用 VirtualBox 虚拟机

一般性提醒:小心各种借漏洞蹭热度的恶意软件,避免在非VMWare官方渠道(*.vmware.com)之外,下载使用安全性未知的三方软件解决漏洞。

来源