VMware修复ESXi虚拟机管理程序中的关键缺陷

外媒消息，在中国举行的天府杯黑客挑战赛上，一个参赛团队发现VMware旗下ESXi虚拟机管理程序中的严重漏洞目前已经被修复。


据称，在几周前的赛事中所发现的这个漏洞，在释放后使用漏洞(CVE-2020-4004)的CVSS得分为9.3(满分10分)，可以说非常严重。它存在于ESXi的可扩展主机控制器接口(XHCI)USB控制器中。XHCI是一种接口规范。

VMware的建议称，攻击者随后将能够以运行在主机上的虚拟机可执行文件(VMX)进程的身份执行代码。VMX进程在VMkernel中运行，负责处理对性能不重要的设备I/O。

360的参赛团队成员被认为是在2020年天府杯赛事中该漏洞的发现者。根据天府杯的官方社交媒体账号看，虽然没有透露漏洞和利用漏洞的更多细节，但该团队“一下子root了该主机的操作系统”。