一位安全研究人員今天表示，虛擬化軟件VMware的Mac版本Fusion中存在一個(gè)嚴(yán)重安全漏洞，這是Mac用戶的噩夢(mèng)，因?yàn)槔迷撀┒纯梢酝ㄟ^Windows虛擬機(jī)在Mac主機(jī)上執(zhí)行惡意代碼，所幸VMware已經(jīng)發(fā)布了Fusion 2.0.4修復(fù)了該漏洞。 
 
Immunity公司的研究人員Kostya Korchinsky表示，VMware虛擬機(jī)顯示功能中的一個(gè)嚴(yán)重漏洞可以被用來(lái)在主機(jī)操作系統(tǒng)上讀取和寫入內(nèi)存，Korchinsky制作了一個(gè)視頻演示了利用該漏洞對(duì)主機(jī)系統(tǒng)進(jìn)行攻擊（http://www.immunityinc.com/documentation/cloudburst-vista.html），演示中，主機(jī)運(yùn)行Vista SP1，虛擬機(jī)運(yùn)行Windows XP。

在今天的一封Email中，Korchinsky說：“這確實(shí)是一種虛擬機(jī)對(duì)主機(jī)的攻擊，它利用VMware中顯示功能的一些漏洞在主機(jī)上任意讀取和寫入內(nèi)存，也就是說虛擬機(jī)可以有效繞過Vista SP1上的ASLR和DEP而在主機(jī)上運(yùn)行代碼。”

同樣的方法適用于運(yùn)行Mac OS X的主機(jī)，Korchinsky表示：“同樣的漏洞存在于Fusion中，運(yùn)行Windows或Linux的虛擬機(jī)也可以利用該漏洞在Mac OS X主機(jī)上執(zhí)行任意代碼?！?/P>

VMware已經(jīng)承認(rèn)該漏洞的存在，而且提供了新版本Fusion解決這一問題，用戶可以從VMware網(wǎng)站免費(fèi)下載這個(gè)186 MB大小的Fusion 2.0.4。

【編輯推薦】

1. 刀片和虛擬化成為企業(yè)云計(jì)算基礎(chǔ)設(shè)施
2. 專訪思杰CTO：虛擬化占領(lǐng)數(shù)據(jù)中心需三大突破
3. LSI發(fā)布新存儲(chǔ)虛擬化管理器