VMware虚拟机软件发现严重漏洞，用户需立即应对

昨晚，虚拟化软件巨头VMware发布安全公告，披露了四个高危漏洞。这些漏洞可能让恶意软件突破虚拟机的“围墙”，直接威胁到运行虚拟机的主机安全。对于使用相关产品的个人和企业用户来说，这是一个需要立即关注的安全事件。

漏洞的严重性何在

根据公告，这四个漏洞的威胁等级很高。其中两个漏洞已经“彻底破坏了VMware产品的核心目标”，这意味着攻击者可能利用它们，让原本被隔离在虚拟机内的恶意软件“逃逸”出来。一旦成功，恶意软件就能感染宿主机，进而威胁到同一网络内的其他主机和虚拟机，破坏性被显著放大。

受影响的软件版本

此次漏洞影响范围较广，涵盖了VMware多款主流虚拟化产品。具体受影响版本及需要升级到的安全版本如下： * VMware Workstation Pro/Player 17.x 版，需升级到 17.5.1 版。 * VMware ESXi 8.0 有两个受影响版本，需分别升级到指定的补丁版本。 * VMware ESXi 7.0，需升级到指定补丁版本。 * VMware Fusion 13.x 版（用于macOS），需升级到 13.5.1 版。

如果你正在使用上述任一产品，就意味着你的系统可能面临风险。

漏洞的技术细节简述

公告中披露的四个漏洞编号为CVE-2024-22252至CVE-2024-22255。我的理解是，它们主要涉及两类问题： 1. USB控制器漏洞：前三个漏洞（CVE-2024-22252, 22253, 22255）与虚拟机中的USB控制器组件有关。攻击者可能利用这些漏洞，在更高权限的进程（VMX）中执行代码或泄露内存信息，从而实现“沙箱逃逸”。 2. 越界写入漏洞：CVE-2024-22254则是一个越界写入漏洞，同样可能被用于逃逸虚拟机的安全隔离环境。

用户应该采取的措施

面对这些漏洞，最直接有效的应对方式是立即将软件更新到公告中指定的安全版本。这是消除风险的根本方法。

如果因为某些原因无法立即升级，VMware也提供了一个临时解决方案：在虚拟机设置中移除USB控制器。这样做会使得虚拟机无法使用U盘、加密狗等USB设备，也无法使用USB直通功能，但通常不会影响鼠标和键盘的基本操作（因为它们多以其他方式连接）。需要注意的是，像旧版Mac OS X这类本身不支持PS/2键鼠协议的系统，移除USB控制器后可能无法使用输入设备。

结尾

网络安全威胁时刻存在，及时更新软件是防护的基础。对于VMware用户而言，当前的首要任务就是根据官方指引，检查自己的软件版本并尽快完成升级。如果暂时无法升级，也应考虑采取移除USB控制器等临时措施来降低风险，并尽快规划永久性修复。