近期监测发现,VMware官方发布了涉及旗下虚拟机软件Workstation和Fusion两款产品多个漏洞的安全公告。经分析研判,攻击者可利用VMware Workstation与Fusion代码执行漏洞(CVE-2023-20869)、VMware Workstation与Fusion信息泄露漏洞(CVE-2023-20870)、VMware Fusion本地提权漏洞(CVE-2023-20871)、VMware Workstation和Fusion越界读/写漏洞(CVE-2023-20872)等4个漏洞实现远程代码执行、信息泄露、权限提升等恶意操作。该漏洞影响版本如下:
CVE-2023-20869和CVE-2023-20870:
1、VMware Workstation 17.x系列< 17.0.2;
2、VMware Fusion 13.x系列< 13.0.2。
CVE-2023-20871:
1、VMware Fusion 13.x系列< 13.0.2。
CVE-2023-20872
1、VMware Workstation 17.x系列< 17.0.1;
2、VMware Fusion 13.x系列< 13.0.1。
请各单位立即排查相关软件使用情况,并在确保安全的前提下升级版本,下载链接分别为:
https://customerconnect.vmware.com/downloads/info/slug/desktop_end_user_computing/vmware_workstation_pro/17_0;
https://customerconnect.vmware.com/downloads/info/slug/desktop_end_user_computing/vmware_fusion/13_0。同时,加强安全监测,发生重大网络安全事件要及时上报网信办。