反应神速！VMware紧急修复黑客大赛被攻破漏洞

 　　在刚刚结束的黑客大赛PwnFest上，来自中国的360安全联队和韩国神童Lokihardt先后攻破VMware workstation，打破VMware在世界赛场上不败的记录。VMware官方在得到选手的漏洞细节反馈后，第一时间对赛中使用的漏洞进行了处理，紧急更新了针对该漏洞的安全补丁，并对协助VMware发现未知漏洞的360安全联队和Lokihardt进行了公开致谢。

　　在本届PwnFest黑客大赛上，VMware workstation、微软Edge浏览器、谷歌Pixel智能手机、Adobe Flash Player、苹果Safari浏览器等五款产品遭参赛选手攻破，所有漏洞细节均第一时间提交给相关厂商。比赛结束后仅仅5天时间内，VMware就紧急推出漏洞补丁，是最快修复漏洞的厂商。

　　图：VMware紧急发布的漏洞补丁

　　据了解，该漏洞是针对个人桌面产品VMware workstation和Fusion的越界内存访问漏洞(漏洞编号CVE-2016-7461)，可以造成黑客通过虚拟机攻击宿主机并实现远程代码执行，企业级产品vSphere的安全性不受影响。目前，官网针对上述产品的不同版本都推送了安全补丁，个人用户下载安装后即可成功修复该漏洞。

　　当前，从桌面系统到服务器、从存储系统到网络，虚拟化平台所涉及的层面极广。它可以让一部主机执行多个虚拟化环境，在单一的桌面上同时运行不同的操作系统，还可以有效地提高资源利用率，解决令人头疼的数据中心能耗，并节省费用投入。

　　VMware在服务器虚拟化市场占据着高达百分之七十以上的市场份额，并一直保持良好的安全口碑。在安全圈，对虚拟化平台的逃逸和破解也一直被称作黑客的顶级神技，除了七年前的旧版本曾有过被破解的传说外，VMware一直都没有被攻破的记录。

　　今年的Pwn2Own黑客大赛上，VMware作为黑马项目首次在世界赛场摆擂，主办方ZDI悬赏7.5万美元的奖金，也没能吸引黑客成功挑战。直到几天前的PwnFest上，才首次实现了公开场合上针对VMware的破解。

　　图：中国团队在PwnFest上全球首次破解VMware

　　据了解，PwnFest黑客大赛由韩国POC(Power of Community)主办，微软、谷歌、苹果、Adobe和VMware官方合作担任评委，是迄今覆盖项目最多、奖金最高的国际性黑客大赛。选手攻破各项目使用的漏洞细节都会及时提交给相应厂商，厂商也将随即推出修复措施，保护全球用户的安全。