奇虎团队在 Pwn2Own 上组合利用三个漏洞逃脱虚拟机

奇虎 360 安全团队在 Pwn2Own 上组合利用三个漏洞，演示了逃脱虚拟机访问主机。他们因此获得了 10.5 万美元奖金。

奇虎的研究人员首先利用微软 Edge 浏览器 JS 引擎的一个堆溢出漏洞在 Edge 沙盒内实现代码执行，然后利用 Windows 10 内核的一个类型混淆漏洞完全入侵客户机，再利用 VMware 虚拟机的未初始化缓冲漏洞逃离客户机系统访问主机。所有这一切只需要借助安全研究人员控制的一个恶意网站。

沙盒以及虚拟机都是用于防止一个软件的漏洞影响系统其它部分的隔离层机制，逃脱虚拟机意味着没有什么基于软件的隔离层是安全的。

关于作者

创新性IT解决方案提供商，专注解决信息化问题，用心陪伴企业成长。芊雅企服通过轻量的产品技术咨询和敏捷的软件研发，为企业提供定制化软件解决方案的一站式落地服务。用技术为企业加速！帮助传统企业技术上 “通水电”，我们相信产品和技术能让世界变得更好！

产品咨询

售后服务

咨询

微信

电话

相关文章