反應(yīng)神速！VMware緊急修復(fù)黑客大賽被攻破漏洞

在剛剛結(jié)束的黑客大賽PwnFest上，來自中國的360安全聯(lián)隊(duì)和韓國神童Lokihardt先后攻破VMware workstation，打破VMware在世界賽場(chǎng)上不敗的記錄。VMware官方在得到選手的漏洞細(xì)節(jié)反饋后，第一時(shí)間對(duì)賽中使用的漏洞進(jìn)行了處理，緊急更新了針對(duì)該漏洞的安全補(bǔ)丁，并對(duì)協(xié)助VMware發(fā)現(xiàn)未知漏洞的360安全聯(lián)隊(duì)和Lokihardt進(jìn)行了公開致謝。

在本屆PwnFest黑客大賽上，VMware workstation、微軟Edge瀏覽器、谷歌Pixel智能手機(jī)、Adobe Flash Player、蘋果Safari瀏覽器等五款產(chǎn)品遭參賽選手攻破，所有漏洞細(xì)節(jié)均第一時(shí)間提交給相關(guān)廠商。比賽結(jié)束后僅僅5天時(shí)間內(nèi)，VMware就緊急推出漏洞補(bǔ)丁，是最快修復(fù)漏洞的廠商。

據(jù)了解，該漏洞是針對(duì)個(gè)人桌面產(chǎn)品VMware workstation和Fusion的越界內(nèi)存訪問漏洞(漏洞編號(hào)CVE-2016-7461)，可以造成黑客通過虛擬機(jī)攻擊宿主機(jī)并實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，企業(yè)級(jí)產(chǎn)品vSphere的安全性不受影響。目前，官網(wǎng)針對(duì)上述產(chǎn)品的不同版本都推送了安全補(bǔ)丁，個(gè)人用戶下載安裝后即可成功修復(fù)該漏洞。

當(dāng)前，從桌面系統(tǒng)到服務(wù)器、從存儲(chǔ)系統(tǒng)到網(wǎng)絡(luò)，虛擬化平臺(tái)所涉及的層面極廣。它可以讓一部主機(jī)執(zhí)行多個(gè)虛擬化環(huán)境，在單一的桌面上同時(shí)運(yùn)行不同的操作系統(tǒng)，還可以有效地提高資源利用率，解決令人頭疼的數(shù)據(jù)中心能耗，并節(jié)省費(fèi)用投入。

VMware在服務(wù)器虛擬化市場(chǎng)占據(jù)著高達(dá)百分之七十以上的市場(chǎng)份額，并一直保持良好的安全口碑。在安全圈，對(duì)虛擬化平臺(tái)的逃逸和破解也一直被稱作黑客的頂級(jí)神技，除了七年前的舊版本曾有過被破解的傳說外，VMware一直都沒有被攻破的記錄。

今年的Pwn2Own黑客大賽上，VMware作為黑馬項(xiàng)目首次在世界賽場(chǎng)擺擂，主辦方ZDI懸賞7.5萬美元的獎(jiǎng)金，也沒能吸引黑客成功挑戰(zhàn)。直到幾天前的PwnFest上，才首次實(shí)現(xiàn)了公開場(chǎng)合上針對(duì)VMware的破解。

據(jù)了解，PwnFest黑客大賽由韓國POC(Power of Community)主辦，微軟、谷歌、蘋果、Adobe和VMware官方合作擔(dān)任評(píng)委，是迄今覆蓋項(xiàng)目最多、獎(jiǎng)金最高的國際性黑客大賽。選手攻破各項(xiàng)目使用的漏洞細(xì)節(jié)都會(huì)及時(shí)提交給相應(yīng)廠商，廠商也將隨即推出修復(fù)措施，保護(hù)全球用戶的安全。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。