Broadcom 發出緊急警報: 涉及三個 VMware Zero-days漏洞
3 月4日,博通 (Broadcom) 針對旗下VMware虛擬化軟體ESXi、Workstation、Fusion發布更新,一口氣修補3項弱點CVE-2025-22224、CVE-2025-22225、CVE-2025-22226,值得留意的是,該公司表示,這些漏洞皆可能遭到利用。 3月4日博通發布資安公告,修補旗下VMware虛擬化軟體ESXi、Workstation、Fusion的零時差漏洞CVE-2025-22224、CVE-2025-22225、CVE-2025-22226,並指出這些漏洞疑似已出現遭到實際利用的跡象。針對這些漏洞,博通都發布了更新軟體,以ESXi為例,該公司對於8.0、7.0版用戶,推出了8.0 Update 3d、Update 2d,以及7.0 Update 3s進行修補。 根據CVSS風險評分高低,最嚴重的是 重大層級的CVE-2025-22224,此為涉及檢查時間及使用時間(TOCTOU)的競爭條件弱點,而有機會造成虛擬機器通訊介面(VMCI)的記憶體溢位,一旦觸發,將有可能引起記憶體越界寫入(OBW),風險值達到9.3分(滿分10分),影響ESXi、Cloud Foundation、VMware Telco Cloud Platform,以及Workstation。攻擊者若是取得虛擬機器的本機管理員權限,就有機會透過VMX處理程序,在主機上執行任意程式碼。 資安風險次高的漏洞為CVE-2025-22225,此為存在於ESXi、Cloud Foundation、VMware Telco Cloud…
