在刚刚结束的黑客大赛PwnFest上,来自中国的360安全联队和韩国神童Lokihardt先后攻破VMware workstation,打破VMware在世界赛场上不败的记录。VMware官方在得到选手的漏洞细节反馈后,第一时间对赛中使用的漏洞进行了处理,紧急更新了针对该漏洞的安全补丁,并对协助VMware发现未知漏洞的360安全联队和Lokihardt进行了公开致谢。
在本届PwnFest黑客大赛上,VMware workstation、微软Edge浏览器、谷歌Pixel智能手机、Adobe Flash Player、苹果Safari浏览器等五款产品遭参赛选手攻破,所有漏洞细节均第一时间提交给相关厂商。比赛结束后仅仅5天时间内,VMware就紧急推出漏洞补丁,是最快修复漏洞的厂商。
图:VMware紧急发布的漏洞补丁
据了解,该漏洞是针对个人桌面产品VMware workstation和Fusion的越界内存访问漏洞(漏洞编号CVE-2016-7461),可以造成黑客通过虚拟机攻击宿主机并实现远程代码执行,企业级产品vSphere的安全性不受影响。目前,官网针对上述产品的不同版本都推送了安全补丁,个人用户下载安装后即可成功修复该漏洞。
当前,从桌面系统到服务器、从存储系统到网络,虚拟化平台所涉及的层面极广。它可以让一部主机执行多个虚拟化环境,在单一的桌面上同时运行不同的操作系统,还可以有效地提高资源利用率,解决令人头疼的数据中心能耗,并节省费用投入。
VMware在服务器虚拟化市场占据着高达百分之七十以上的市场份额,并一直保持良好的安全口碑。在安全圈,对虚拟化平台的逃逸和破解也一直被称作黑客的顶级神技,除了七年前的旧版本曾有过被破解的传说外,VMware一直都没有被攻破的记录。
今年的Pwn2Own黑客大赛上,VMware作为黑马项目首次在世界赛场摆擂,主办方ZDI悬赏7.5万美元的奖金,也没能吸引黑客成功挑战。直到几天前的PwnFest上,才首次实现了公开场合上针对VMware的破解。
图:中国团队在PwnFest上全球首次破解VMware
据了解,PwnFest黑客大赛由韩国POC(Power of Community)主办,微软、谷歌、苹果、Adobe和VMware官方合作担任评委,是迄今覆盖项目最多、奖金最高的国际性黑客大赛。选手攻破各项目使用的漏洞细节都会及时提交给相应厂商,厂商也将随即推出修复措施,保护全球用户的安全。
