VMware針對在最近一次中國黑客大賽中發(fā)現(xiàn)的虛擬機(jī)（VM）逃逸重要漏洞發(fā)布安全補(bǔ)丁。

據(jù)報道，VMware已為該虛擬機(jī)（VM）逃逸重要漏洞（CVE-2018-6981與CVE-2018-6982）發(fā)布安全補(bǔ)丁，該漏洞由研究員張焱宇近期在中國GeekPwn2018黑客大賽中發(fā)現(xiàn)。

這些程序錯誤是由vmxnet3虛擬網(wǎng)絡(luò)適配器中未初始化的堆棧內(nèi)存使用錯誤導(dǎo)致的。而這些錯誤僅在vmxnet3適配器允許的情況下才可用。

由VMware發(fā)布的通知可知，“VMware ESXi、Fusion與Workstation的vmxnet3虛擬網(wǎng)絡(luò)適配器中包含未初始化的堆棧內(nèi)存使用。啟用vmxnet3時，該問題會允許虛擬機(jī)在宿主機(jī)上執(zhí)行代碼。所有的vmxnet3均受此問題影響?！?/p>

虛擬主機(jī)可利用漏洞“CVE-2018-6981”在主機(jī)上執(zhí)行任意代碼，影響VMware ESXi、Fusion與Workstation產(chǎn)品。而漏洞“CVE-2018-6982”可導(dǎo)致從主機(jī)到虛擬機(jī)的信息泄露，該漏洞只影響ESXi。

GeekPwn是由中國公司碁震云計算（Keen Cloud Tech）于2014年在中國發(fā)起并舉辦的知名黑客大賽，且自2017起，該賽事也開始在美國舉行。

最新賽事GeekPwn2018于10月24與25日在上海舉行，主辦方提供總額80萬美元的獎池。今年，一名中國的研究員發(fā)現(xiàn)一個虛擬機(jī)到宿主機(jī)的逃逸漏洞，該漏洞與其他小問題一起影響多個VMware產(chǎn)品。

該漏洞非常重要，因為這是專家首次成功嘗試逃逸VMwareESXi，并在宿主系統(tǒng)中獲取root shell。

該虛擬化軟件巨頭已為這兩個漏洞發(fā)布補(bǔ)丁與更新。