在剛剛結(jié)束的黑客大賽PwnFest上，來自中國的360安全聯(lián)隊和韓國神童Lokihardt先后攻破VMware workstation，打破VMware在世界賽場上不敗的記錄。VMware官方在得到選手的漏洞細(xì)節(jié)反饋后，第一時間對賽中使用的漏洞進(jìn)行了處理，緊急更新了針對該漏洞的安全補(bǔ)丁，并對協(xié)助VMware發(fā)現(xiàn)未知漏洞的360安全聯(lián)隊和Lokihardt進(jìn)行了公開致謝。

　　在本屆PwnFest黑客大賽上，VMware workstation、微軟Edge瀏覽器、谷歌Pixel智能手機(jī)、Adobe Flash Player、蘋果Safari瀏覽器等五款產(chǎn)品遭參賽選手攻破，所有漏洞細(xì)節(jié)均第一時間提交給相關(guān)廠商。比賽結(jié)束后僅僅5天時間內(nèi)，VMware就緊急推出漏洞補(bǔ)丁，是最快修復(fù)漏洞的廠商。

圖：VMware緊急發(fā)布的漏洞補(bǔ)丁

　　據(jù)了解，該漏洞是針對個人桌面產(chǎn)品VMware workstation和Fusion的越界內(nèi)存訪問漏洞(漏洞編號CVE-2016-7461)，可以造成黑客通過虛擬機(jī)攻擊宿主機(jī)并實現(xiàn)遠(yuǎn)程代碼執(zhí)行，企業(yè)級產(chǎn)品vSphere的安全性不受影響。目前，官網(wǎng)針對上述產(chǎn)品的不同版本都推送了安全補(bǔ)丁，個人用戶下載安裝后即可成功修復(fù)該漏洞。

　　當(dāng)前，從桌面系統(tǒng)到服務(wù)器、從存儲系統(tǒng)到網(wǎng)絡(luò)，虛擬化平臺所涉及的層面極廣。它可以讓一部主機(jī)執(zhí)行多個虛擬化環(huán)境，在單一的桌面上同時運(yùn)行不同的操作系統(tǒng)，還可以有效地提高資源利用率，解決令人頭疼的數(shù)據(jù)中心能耗，并節(jié)省費用投入。

　　VMware在服務(wù)器虛擬化市場占據(jù)著高達(dá)百分之七十以上的市場份額，并一直保持良好的安全口碑。在安全圈，對虛擬化平臺的逃逸和破解也一直被稱作黑客的頂級神技，除了七年前的舊版本曾有過被破解的傳說外，VMware一直都沒有被攻破的記錄。

　　今年的Pwn2Own黑客大賽上，VMware作為黑馬項目首次在世界賽場擺擂，主辦方ZDI懸賞7.5萬美元的獎金，也沒能吸引黑客成功挑戰(zhàn)。直到幾天前的PwnFest上，才首次實現(xiàn)了公開場合上針對VMware的破解。

圖：中國團(tuán)隊在PwnFest上全球首次破解VMware

　　據(jù)了解，PwnFest黑客大賽由韓國POC(Power of Community)主辦，微軟、谷歌、蘋果、Adobe和VMware官方合作擔(dān)任評委，是迄今覆蓋項目最多、獎金最高的國際性黑客大賽。選手攻破各項目使用的漏洞細(xì)節(jié)都會及時提交給相應(yīng)廠商，廠商也將隨即推出修復(fù)措施，保護(hù)全球用戶的安全。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。