VMWare Workstation hcmon.sys驱动存在漏洞

【绿盟科技授权，赛迪发布，谢绝任何网站转载，违者，赛迪网将保留追究其法律责任的权利！】

【赛迪网-IT技术报道】VMWare是一款虚拟PC软件，允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。VMWare的hcmon.sys驱动没有过滤用户态通过METHOD_NEITHER发送的指针：如果本地用户向\\.\hcmon设备发送了0x8101232B IOCTL，就可以导致内核崩溃。

发布日期：2008-08-18

更新日期：2008-08-19

受影响系统：

VMWare VMWare Workstation 6.0.0.45731

VMWare VMWare Workstation

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 30737

VMWare是一款虚拟PC软件，允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。

VMWare的hcmon.sys驱动没有过滤用户态通过METHOD_NEITHER发送的指针：

.text:00011606 loc_11606: .text:00011606 mov eax, [ebp+SystemBuffer]

.text:00011609 mov [ebp+SystemBuffer2], eax

.text:0001160C mov ecx, [ebp+SystemBuffer2]

.text:0001160F mov edx, [ecx+0Ch] <---- BUGCHECK

.text:00011612 cmp edx, [ebp+var_20]

.text:00011615 jnz short loc_11629

.text:00011617 cmp [ebp+NumberOfBytes], 70h

.text:0001161B jb short loc_11629

.text:0001161D mov eax, [ebp+SystemBuffer2]

.text:00011620 cmp dword ptr [eax+8], 7FFBh

.text:00011627 jbe short loc_11638

如果本地用户向\\.\hcmon设备发送了0x8101232B IOCTL，就可以导致内核崩溃。

<*来源：g_ （g_@orange-bat.com）

链接：http://secunia.com/advisories/31410/

*>

建议：

--------------------------------------------------------------------------------

厂商补丁：

VMWare

------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.vmware.com

(责任编辑：董建伟)