博通剛剛釋出安全更新用於修復 VMware Tools for Windows 的高危安全漏洞,該漏洞屬於身份驗證繞過類的漏洞,藉助該漏洞攻擊者可以在虛擬機器中提權。
VMware Tools 包含實用程式和驅動程式等,該工具主要是用來提高虛擬機器的相容性、圖形效能、系統性能和整合系統,方便使用者透過宿主機更好地執行和操作虛擬機器。
漏洞編號是 CVE-2025-22230,該漏洞由不當的訪問控制弱點引起,漏洞由 Positive Technologies 安全公司研究人員 Sergey Bliznyuk 報告。
比較有趣的是 Positive Technologies 是個俄羅斯網路安全公司,該公司遭到美國製裁,原因是此前該公司被發現販賣駭客工具,既然是販賣駭客的工具現在怎麼會主動報告漏洞呢?
根據這名研究人員的說法,具有較低許可權的本地攻擊者可以利用該漏洞進行低複雜度的攻擊,這種攻擊不需要使用者互動即可在易受攻擊的虛擬機器內執行某些高許可權的操作。
本月初博通還修復 3 個 VMware 的零日漏洞,包括 CVE-2025-22224、CVE-2025-22225、CVE-2025-22226,這些漏洞由微軟威脅情報中心報告。
微軟情報中心提供的資料表明這些漏洞已經遭到駭客的利用,具有管理員許可權或根訪問許可權的攻擊者可以利用漏洞實現虛擬機器沙盒逃逸,危害程度非常高。
當然對大多數家庭使用者來說這些漏洞不會引起太嚴重的問題,不過即便如此使用者也需要及時更新版本,避免使用包含漏洞的 VMware 和 VMware Tools。
博通安全公告:https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518
