VMware 的 ESXi、Workstation 和 Fusion 產品中發現了多個零時差漏洞。
VMware ESXi、Workstation 和 Fusion 存在因 HGFS 越界讀取而導致資訊外洩的漏洞。
具有虛擬機器管理權限的惡意行為者可能能夠利用此問題從 vmx 程序中洩漏記憶體。
VMware 已確認這些漏洞正在被廣泛利用，網路安全和基礎設施安全局 (CISA) 已將其納入已知被利用漏洞目錄，因為有證據表明存在此類利用。

供應商諮詢表明，這些漏洞是由微軟威脅情報中心報告給 VMware 的。

• CVE-2025-22225: Arbitrary Write Vulnerability in VMware ESXi
• CVE-2025-22224: TOCTOU Race Condition Vulnerability in VMware ESXi and Workstation
• CVE-2025-22226: Information Disclosure Vulnerability in VMware ESXi, Workstation, and Fusion

CVE-2025-22226 詳細資料 描述 VMware ESXi、Workstation 和 Fusion 因 HGFS 中的越界讀取而存在資訊外洩漏洞。
具有虛擬機器管理權限的惡意行為者可能能夠利用此問題從 vmx 進程中洩漏記憶體。

已有更新可以修復影響 VMware 產品的漏洞。應用供應商公告中列出的補丁。
建議使用者在供應商提供修復程序時套用該修復程序，並按照供應商公告中提到的所有說明進行操作。
Download filename
說明：
VMware ESXi 和 Workstation 包含一個 TOCTOU（檢查時間使用時間）漏洞，該漏洞會導致越界寫入。
VMware 已評估此問題的嚴重性，將其列為「嚴重」範圍，最高 CVSSv3 基本分數為 9.3。


已知攻擊媒介： 具有虛擬機器本機管理權限的惡意行為者可能會利用此問題作為在主機上執行的虛擬機器 VMX 程序來執行程式碼。

參考
https://nvd.nist.gov/vuln/detail/CVE-2025-22226
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

TOP

[ add comment ]   |  permalink  |  print article  |   ( 3.1 / 72 )

---

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Next> Last>>

- Page Generated in 0.036 seconds | Site Views: 43