站長資訊網在剛剛結束的黑客大賽PwnFest上,來自中國的360安全聯隊和韓國神童Lokihardt先后攻破VMware workstation,打破VMware在世界賽場上不敗的記錄。VMware官方在得到選手的漏洞細節反饋后,第一時間對賽中使用的漏洞進行了處理,緊急更新了針對該漏洞的安全補丁,并對協助VMware發現未知漏洞的360安全聯隊和Lokihardt進行了公開致謝。
在本屆PwnFest黑客大賽上,VMware workstation、微軟Edge瀏覽器、谷歌Pixel智能手機、Adobe Flash Player、蘋果Safari瀏覽器等五款產品遭參賽選手攻破,所有漏洞細節均第一時間提交給相關廠商。比賽結束后僅僅5天時間內,VMware就緊急推出漏洞補丁,是最快修復漏洞的廠商。
圖:VMware緊急發布的漏洞補丁
據了解,該漏洞是針對個人桌面產品VMware workstation和Fusion的越界內存訪問漏洞(漏洞編號CVE-2016-7461),可以造成黑客通過虛擬機攻擊宿主機并實現遠程代碼執行,企業級產品vSphere的安全性不受影響。目前,官網針對上述產品的不同版本都推送了安全補丁,個人用戶下載安裝后即可成功修復該漏洞。
當前,從桌面系統到服務器、從存儲系統到網絡,虛擬化平臺所涉及的層面極廣。它可以讓一部主機執行多個虛擬化環境,在單一的桌面上同時運行不同的操作系統,還可以有效地提高資源利用率,解決令人頭疼的數據中心能耗,并節省費用投入。
VMware在服務器虛擬化市場占據著高達百分之七十以上的市場份額,并一直保持良好的安全口碑。在安全圈,對虛擬化平臺的逃逸和破解也一直被稱作黑客的頂級神技,除了七年前的舊版本曾有過被破解的傳說外,VMware一直都沒有被攻破的記錄。
今年的Pwn2Own黑客大賽上,VMware作為黑馬項目首次在世界賽場擺擂,主辦方ZDI懸賞7.5萬美元的獎金,也沒能吸引黑客成功挑戰。直到幾天前的PwnFest上,才首次實現了公開場合上針對VMware的破解。
圖:中國團隊在PwnFest上全球首次破解VMware
據了解,PwnFest黑客大賽由韓國POC(Power of Community)主辦,微軟、谷歌、蘋果、Adobe和VMware官方合作擔任評委,是迄今覆蓋項目最多、獎金最高的國際性黑客大賽。選手攻破各項目使用的漏洞細節都會及時提交給相應廠商,廠商也將隨即推出修復措施,保護全球用戶的安全。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
