CVE-2020-3960 漏洞影響 VMware Workstation、Fusion 和 vSphere 產品

VMware解決了一個嚴重程度較高的信息泄露漏洞，該漏洞被跟蹤為CVE-2020-3960，影響了其工作站、Fusion和vSphere虛擬化產品。

CVE-2020-3960漏洞是由谷歌云安全團隊的研究員Cfir Cohen發現的。

ESXi、Workstation和Fusion受到越界讀取漏洞的影響，對虛擬機具有非管理員訪問權限的攻擊者可以利用該漏洞從內存中讀取特權信息。

VMware ESXi、工作站和Fusion在NVMe功能中包含一個越界讀取漏洞閱讀咨詢。

該缺陷存在于NVMe功能中。NVMe(非易失性快速存儲器)是針對閃存和下一代固態硬盤(固態硬盤)的新存儲訪問和傳輸協議，可為所有類型的企業工作負載提供最高的吞吐量和最快的響應時間。

該漏洞會影響ESXi 6.5和6.7、工作站15.x和Fusion 11.x。虛擬化公司已經發布了上述產品的安全路徑，但沒有可用的解決方法。

VMware還解決了一個嚴重級別較高的權限提升漏洞，該漏洞被跟蹤為CVE-2020-3961，它會影響Windows的Horizon Client。

“由于文件夾權限配置和不安全的庫加載，用于Windows的VMware Horizon客戶端包含權限提升漏洞。VMware已將此問題的嚴重性評估為“重要”嚴重性范圍，最大CVSSv3基本分數為8.4。”公司發布的安全建議顯示。

6月初，黑客公司Citadelo的研究人員披露了VMware云控制器平臺中一個新的關鍵漏洞的詳細信息，該漏洞被追蹤為CVE-2020-3956，可能被濫用來接管企業服務器。

VMware云控制器是一個云服務交付平臺，允許組織運營和管理成功的云服務業務。通過使用VMware云控制器，云提供商可以為全球數以千計的企業和IT團隊提供安全、高效和靈活的云資源。

該漏洞可能允許經過身份驗證的攻擊者訪問公司網絡，訪問敏感數據，并控制整個基礎架構內的私有云。