VMware修补了影响ESXi、工作站和Fusion产品的重要缺陷

VMWare已向Workstation、Fusion和ESXi产品发布了更新，以解决一个“重要”的安全漏洞，该漏洞可能会被一个威胁参与者武器化，从而控制受影响的系统。

该问题与堆溢出漏洞—；追踪为CVE-2021-22045（CVSS得分：7.7）和#8212；如果成功利用，将导致执行任意代码。该公司认为Jaanus Käp是澄清安全的安全研究员，他报告了该漏洞。

VMware在1月4日发布的一份公告中表示：“通过CD-ROM设备仿真访问虚拟机的恶意参与者可能能够利用此漏洞以及其他问题，在虚拟机的虚拟机监控程序上执行代码。”。“成功利用此漏洞需要将[a]CD映像连接到虚拟机。”

该错误会影响ESXi版本6.5、6.7和7.0；工作站版本16。十、和融合版本12。x、 该公司尚未发布ESXi 7.0的补丁。在此期间，该公司建议用户禁用所有正在运行的虚拟机上的所有CD-ROM/DVD设备，以防止任何潜在的攻击—；

• 使用vSphere Web客户端登录vCenter服务器系统。
• 右键单击虚拟机，然后单击编辑设置。
• 选择CD/DVD驱动器，取消选中“已连接”和“通电连接”，然后卸下所有连接的ISOs。

随着VMware的虚拟化解决方案在企业中广泛部署，其产品成为威胁参与者对易受攻击的网络发起大量攻击的热门选择也就不足为奇了。为了降低渗透风险，建议组织迅速采取行动，应用必要的更新。