VMware本周发布补丁修复数个漏洞，包括一个严重漏洞，漏洞涉及的产品包括ESXi, vCenter Server, Workstation和Fusion。

其中这个严重漏洞编号为CVE-2017-4924，这是一个SVGA设备中的越界写入问题，SVGA是通过VMware虚拟化产品实现的旧虚拟显卡。VMware表示，该漏洞可以让黑客通过访客虚拟机在主机上执行代码。

6月22日，Comsecuris UG的Nico Golde和Ralf-Philipp Weinmann通过ZDI向VMware报告了安全漏洞。ZDI的公告中指出，攻击者必须能够在guest主机上执行低权限代码才能利用漏洞。

“Shader存在某个漏洞，”ZDI公告提到。“漏洞的原因是没有对用户提交数据的正确验证，这可能导致数据写入到缓冲区的结尾。然后攻击者可以利用其他漏洞在主机操作系统上执行代码。“

尽管VMware将其评级为严重，但ZDI给出的CVSS评分为6.2，属于中危漏洞。OS X上的ESXi 6.5、Workstation 12.x和Fusion 8.x都受到影响。

本周发布的第二个漏洞列为中危，编号为CVE-2017-4925，由Zhang Haitao发现。他注意到在处理guest主机RPC请求时，ESXi，Workstation和Fusion有一个NULL指针解引用漏洞。攻击者只要有正常用户权限就可以利用漏洞破坏虚拟机。

这个漏洞会影响到OS X上的ESXi 5.5,6.0和6.5，Workstation 12.x和Fusion 8.x。

第三个漏洞也被评为中危，由Thomas Ornetzeder发现，漏洞编号CVE-2017-4926。Ornetzeder发现，版本6.5上的vCenter Server H5客户端中存在存储型跨站点脚本（XSS）漏洞。具有VC用户权限的攻击者可以在网页中注入恶意js代码，当其他用户访问是就可以执行相关代码。