VMware修复VMware Tools和Workspace ONE SDK中的漏洞

VMware在1月14日发布了VMwareTools 11.0.0版本,修复Tools 10.x.y版本中的一个本地提权漏洞。漏洞编号为CVE-2020-3941,是一个竞争条件漏洞,攻击者可通过访问访客虚拟机利用该漏洞提升权限。

VMware在1月14日发布了VMwareTools 11.0.0版本,修复Tools 10.x.y版本中的一个本地提权漏洞。漏洞编号为CVE-2020-3941,是一个竞争条件漏洞,攻击者可通过访问访客虚拟机利用该漏洞提升权限。

VMware在安全公告中表示,访客虚拟机上的恶意操作者可能利用该竞争条件漏洞,提升在Windows虚拟机上的权限。该问题影响了用于Windows系统的VMwareTools 10.x.y版本,VMware Tools 11版本并不包含受影响的功能,因而不受影响。

该漏洞的严重等级为高危,CVSS评分为7.8。VMware同时给出了一个变通方法,以防用户无法升级版本。

1. 进入运行VWware Tools 10.x.y版本的Windows访客虚拟机

2. 找到C:\ProgramData\VMware\VMwareCAF目录

3. 从目录中移除标准用户的所有写入访问权限

4. 找到访问控制列表(ACLs),修改控制列表

VMware近期还披露了一个信息泄露漏洞,编号为CVE-2020-3940。该漏洞影响了Workspace ONE SDK和相关的iOS及Android移动应用程序。该漏洞源于当UEM控制台中开启SSL Pinning时应用程序未能妥当地处理证书验证失败。

VMware在公告中表示,如果启用了SSL Pinning,攻击者可通过在受影响的移动应用程序和Workspace ONE UEM设备服务之间实施中间人攻击利用该漏洞捕获传输中的敏感数据。

该漏洞的严重等级为中危,CVSS评分为6.8。

受影响的产品包括:

²  Workspace ONE SDK

²  Workspace ONE Boxer

²  Workspace ONE Content

²  Workspace ONE SDK Plugin for Apache Cordova

²  Workspace ONE Intelligent Hub

²  Workspace ONE Notebook

²  Workspace ONE People

²  Workspace ONE PIV-D

²  Workspace ONE Web

             ² Workspace ONE SDK Pluginfor Xamarin


本文主要源自Security Affairs,作者Pierluigi Paganini,译文略有删改,转载请注明出处。

更多精彩
取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php