受DoS漏洞影響的VMware Workstation,Fusion和ESXi尚無補丁
VMware釋出了一份公告,其中包含Cisco Talos的Piotr Bania發現的vSphere ESXi,Workstation(Pro/Player)和VMware Fusion(Fusion Pro)產品中的拒絕服務漏洞的解決方案,並且在啟用3D加速功能時可以利用。
根據VMWare,VMware vSphere ESXi上預設不啟用3D加速,但它在所有版本的VMware Workstation和VMware Fusion上都有所改進。
根據VMware公告,該漏洞將觸發拒絕服務,因為惡意製作的3D渲染著色器會導致無限迴圈。
此外,根據Cisco Talos的說法,惡意的畫素著色器可以由潛在的攻擊者以二進位制或文字形式提供給VMware客戶作業系統中的目標。
記憶體拒絕服務攻擊可以從影響VMware主機的VMware guest虛擬機器觸發(vmware-vmx.exe程序立即崩潰),如果不使用Google的ANGLE,也可以通過Web瀏覽器通過WEBGL觸發(幾乎是Native Graphics Layer Engine)圖形引擎抽象層。
正如VMware在VMSA-2018-0025諮詢中所描述的那樣,“成功利用此問題可能允許在guest虛擬機器中具有普通使用者許可權的攻擊者使VM無響應,並且在某些情況下,可能導致主機上的其他VM或主持人自己變得反應遲鈍。
VMware提供了一種解決方法,旨在緩解所有受影響軟體產品中的DoS漏洞
目前,受此DoS漏洞影響的任何產品都沒有補丁。但是,VMware提供了一種解決方法,可以緩解此問題。
此外,此DoS問題的解決方法需要禁用VMware Workstation和Fusion產品中的3D加速功能,而VMware ESXi不需要任何干預,因為預設情況下,此軟體會禁用3D加速功能。
VMware Workstation使用者可以通過關閉虛擬機器,選擇VM,轉到VM>設定>硬體>顯示並取消選中“加速3D圖形”選項來禁用3D加速。
Fusion使用者需要關閉其VM,選擇該虛擬機器,進入VMware Fusion選單欄,選擇Window> Virtual Machine Library,選擇VM並單擊Settings,然後進入系統設定>顯示並禁用“加速3D”圖形“選項。