在剛剛結(jié)束的黑客大賽PwnFest上，來(lái)自中國(guó)的360安全聯(lián)隊(duì)和韓國(guó)神童Lokihardt先后攻破VMware workstation，打破VMware在世界賽場(chǎng)上不敗的記錄。VMware官方在得到選手的漏洞細(xì)節(jié)反饋后，第一時(shí)間對(duì)賽中使用的漏洞進(jìn)行了處理，緊急更新了針對(duì)該漏洞的安全補(bǔ)丁，并對(duì)協(xié)助VMware發(fā)現(xiàn)未知漏洞的360安全聯(lián)隊(duì)和Lokihardt進(jìn)行了公開(kāi)致謝。

在本屆PwnFest黑客大賽上，VMware workstation、微軟Edge瀏覽器、谷歌Pixel智能手機(jī)、Adobe Flash Player、蘋果Safari瀏覽器等五款產(chǎn)品遭參賽選手攻破，所有漏洞細(xì)節(jié)均第一時(shí)間提交給相關(guān)廠商。比賽結(jié)束后僅僅5天時(shí)間內(nèi)，VMware就緊急推出漏洞補(bǔ)丁，是最快修復(fù)漏洞的廠商。

　　圖：VMware緊急發(fā)布的漏洞補(bǔ)丁

據(jù)了解，該漏洞是針對(duì)個(gè)人桌面產(chǎn)品VMware workstation和Fusion的越界內(nèi)存訪問(wèn)漏洞(漏洞編號(hào)CVE-2016-7461)，可以造成黑客通過(guò)虛擬機(jī)攻擊宿主機(jī)并實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，企業(yè)級(jí)產(chǎn)品vSphere的安全性不受影響。目前，官網(wǎng)針對(duì)上述產(chǎn)品的不同版本都推送了安全補(bǔ)丁，個(gè)人用戶下載安裝后即可成功修復(fù)該漏洞。

當(dāng)前，從桌面系統(tǒng)到服務(wù)器、從存儲(chǔ)系統(tǒng)到網(wǎng)絡(luò)，虛擬化平臺(tái)所涉及的層面極廣。它可以讓一部主機(jī)執(zhí)行多個(gè)虛擬化環(huán)境，在單一的桌面上同時(shí)運(yùn)行不同的操作系統(tǒng)，還可以有效地提高資源利用率，解決令人頭疼的數(shù)據(jù)中心能耗，并節(jié)省費(fèi)用投入。

VMware在服務(wù)器虛擬化市場(chǎng)占據(jù)著高達(dá)百分之七十以上的市場(chǎng)份額，并一直保持良好的安全口碑。在安全圈，對(duì)虛擬化平臺(tái)的逃逸和破解也一直被稱作黑客的頂級(jí)神技，除了七年前的舊版本曾有過(guò)被破解的傳說(shuō)外，VMware一直都沒(méi)有被攻破的記錄。

今年的Pwn2Own黑客大賽上，VMware作為黑馬項(xiàng)目首次在世界賽場(chǎng)擺擂，主辦方ZDI懸賞7.5萬(wàn)美元的獎(jiǎng)金，也沒(méi)能吸引黑客成功挑戰(zhàn)。直到幾天前的PwnFest上，才首次實(shí)現(xiàn)了公開(kāi)場(chǎng)合上針對(duì)VMware的破解。

　　圖：中國(guó)團(tuán)隊(duì)在PwnFest上全球首次破解VMware

據(jù)了解，PwnFest黑客大賽由韓國(guó)POC(Power of Community)主辦，微軟、谷歌、蘋果、Adobe和VMware官方合作擔(dān)任評(píng)委，是迄今覆蓋項(xiàng)目最多、獎(jiǎng)金最高的國(guó)際性黑客大賽。選手攻破各項(xiàng)目使用的漏洞細(xì)節(jié)都會(huì)及時(shí)提交給相應(yīng)廠商，廠商也將隨即推出修復(fù)措施，保護(hù)全球用戶的安全。