VMware 修复两处“关键”漏洞,专家凭此发现获 8 万美元赏金

2023-04-26 12:05IT之家 - 故渊

IT之家 4 月 26 日消息,VMWare 于今天发布了安全更新,修复了两个“关键”级别的零日漏洞。攻击者利用这两个漏洞,可以让 Workstation 和 Fusion 软件运行任意代码。

这两个零日漏洞由 STAR Labs 安全团队发现,他们 1 个月前在 Pwn2Own Vancouver 2023 黑客大赛中曾公开演示过。

根据行业规则,安全专家在完整披露这两个漏洞之前,供应商有 90 天的时间来修复这两个漏洞。

IT之家附两个漏洞信息如下:

第一个漏洞编号为 CVE-2023-20869,存在于蓝牙设备共享功能中,是基于堆栈的缓冲区溢出漏洞,允许本地攻击者在主机上运行虚拟机的 VMX 进程时执行代码。

第二个漏洞编号为 CVE-2023-20870,同样存在蓝牙设备功能中,恶意行为者能够从 VM 读取管理程序内存中包含的特权信息。

STAR Labs 安全团队因为发现了这两个漏洞,赢得了 80000 美元的赏金和 8 个 Master of Pwn 积分。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      一大波评论正在路上
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享