近期监测发现,VMware官方发布了涉及旗下虚拟机软件Workstation和Fusion两款产品多个漏洞的安全公告。经分析研判,攻击者可利用VMware Workstation与Fusion代码执行漏洞(CVE-2023-20869)、VMware Workstation与Fusion信息泄露漏洞(CVE-2023-20870)、VMware Fusion本地提权漏洞(CVE-2023-20871)、VMware Workstation和Fusion越界读/写漏洞(CVE-2023-20872)等4个漏洞实现远程代码执行、信息泄露、权限提升等恶意操作。该漏洞影响版本如下:
CVE-2023-20869和CVE-2023-20870:
1、VMware Workstation 17.x系列< 17.0.2;
2、VMware Fusion 13.x系列< 13.0.2。
CVE-2023-20871:
1、VMware Fusion 13.x系列< 13.0.2。
CVE-2023-20872
1、VMware Workstation 17.x系列< 17.0.1;
2、VMware Fusion 13.x系列< 13.0.1。
请各单位立即排查相关软件使用情况,并在确保安全的前提下升级版本,下载链接分别为:
https://customerconnect.vmware.com/downloads/info/slug/desktop_end_user_computing/vmware_workstation_pro/17_0;
https://customerconnect.vmware.com/downloads/info/slug/desktop_end_user_computing/vmware_fusion/13_0。
同时,加强安全监测,发生重大网络安全事件要及时上报上级主管部门和属地公安机关网安部门。