漏洞信息详情

VMware intraprocesslogging.dll ActiveX控件任意文件覆盖漏洞

• CNNVD编号：CNNVD-200707-559
• 危害等级： 高危
  
• CVE编号： CVE-2007-4059
• 漏洞类型： 设计错误
• 发布时间： 2007-07-30
• 威胁类型： 远程
• 更新时间： 2007-07-31
• 厂        商： vmware
• 漏洞来源： Neel MehtaRyan Smi...

漏洞简介

VMware Workstation是一款非常流行的虚拟PC机软件。

VMware intraprocesslogging.dll ActiveX控件实现上存在漏洞，远程攻击者可能利用此漏洞在用户系统上执行任意指令。

VMware中所捆绑的vielib.dll库中的StartProcess方式没有验证是否被应用程序或恶意用户调用，如果用户受骗访问了恶意网页的话，调用了该库的应用程序就可能导致以登录用户的权限执行任意指令。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.vmware.com

参考网址

来源: BID

名称: 25110

链接:http://www.securityfocus.com/bid/25110

来源: XF

名称: vmware-intraprocesslogging-file-overwrite(35675)

链接:http://xforce.iss.net/xforce/xfdb/35675

来源: www.vmware.com

链接:http://www.vmware.com/support/ws6/doc/releasenotes_ws6.HTML

来源: www.vmware.com

链接:http://www.vmware.com/support/ws55/doc/releasenotes_ws55.HTML

来源: www.vmware.com

链接:http://www.vmware.com/support/server/doc/releasenotes_server.HTML

来源: www.vmware.com

链接:http://www.vmware.com/support/player2/doc/releasenotes_player2.HTML

来源: www.vmware.com

链接:http://www.vmware.com/support/player/doc/releasenotes_player.HTML

来源: www.vmware.com

链接:http://www.vmware.com/support/ace/doc/releasenotes_ace.HTML

来源: MILW0RM

名称: 4240

链接:http://www.milw0rm.com/exploits/4240

来源: VUPEN

名称: ADV-2007-3229

链接:http://www.frsirt.com/english/advisories/2007/3229

来源: SECUNIA

名称: 26890

链接:http://secunia.com/advisories/26890

来源: FULLDISC

名称: 20070920 VMSA-2007-0006 Critical security updates for all supported versions of VMware ESX Server, VMware Server, VMware Workstation, VMware ACE, and VMware Player

链接:http://lists.grok.org.uk/pipermail/full-disclosure/2007-September/065902.HTML

受影响实体

• Vmware Workstation:5.5.3:42958  

补丁

暂无