3 月4日，博通 (Broadcom) 針對旗下VMware虛擬化軟體ESXi、Workstation、Fusion發布更新，一口氣修補3項弱點CVE-2025-22224、CVE-2025-22225、CVE-2025-22226，值得留意的是，該公司表示，這些漏洞皆可能遭到利用。 3月4日博通發布資安公告，修補旗下VMware虛擬化軟體ESXi、Workstation、Fusion的零時差漏洞CVE-2025-22224、CVE-2025-22225、CVE-2025-22226，並指出這些漏洞疑似已出現遭到實際利用的跡象。針對這些漏洞，博通都發布了更新軟體，以ESXi為例，該公司對於8.0、7.0版用戶，推出了8.0 Update 3d、Update 2d，以及7.0 Update 3s進行修補。 根據CVSS風險評分高低，最嚴重的是 重大層級的CVE-2025-22224，此為涉及檢查時間及使用時間（TOCTOU）的競爭條件弱點，而有機會造成虛擬機器通訊介面（VMCI）的記憶體溢位，一旦觸發，將有可能引起記憶體越界寫入（OBW），風險值達到9.3分（滿分10分），影響ESXi、Cloud Foundation、VMware Telco Cloud Platform，以及Workstation。攻擊者若是取得虛擬機器的本機管理員權限，就有機會透過VMX處理程序，在主機上執行任意程式碼。 資安風險次高的漏洞為CVE-2025-22225，此為存在於ESXi、Cloud Foundation、VMware Telco Cloud Platform的漏洞，Workstation、Fusion不受影響。此為任意寫入漏洞，一旦攻擊者取得VMX處理程序的特殊權限，就有機會觸發核心任意寫入的現象，從而進行沙箱逃逸，風險值為8.2。 第三個被用於實際攻擊行動的弱點CVE-2025-22226，為主機與虛機機器的檔案共用系統（HGFS）資訊洩露弱點，攻擊者在取得虛擬機器管理者權限的情況下，就有機會觸發並洩露VMX處理程序存放於記憶體的內容，風險值為7.1。值得留意的是，雖然這項弱點的危險程度是三者當中最低，但影響範圍最廣，涵蓋ESXi、Cloud Foundation、VMware Telco Cloud Platform、Workstation，以及Fusion。 與我們聯繫以了解更多資訊並做出正確的決定。 電話：2168 0388 Whatsapp:…