发布日期：2009-07-15
更新日期：2009-07-15

受影响系统：

Microsoft Virtual PC 2007 SP1
Microsoft Virtual PC 2007
Microsoft Virtual PC 2004 SP1
Microsoft Virtual Server 2005 R2 SP1

描述：

---

BUGTRAQ  ID: 35601
CVE(CAN) ID: CVE-2009-1542

Microsoft Virtual PC和Virtual Server都是流行的虚拟机工具，允许在同一台计算机上运行多个操作系统。

Virtual PC和Virtual Server在Virtual Machine Monitor中执行特定指令时没有正确地验证权限级别，可能允许攻击者在承载的Guest操作系统中以提升的权限执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

<*来源：Julien Tinnes
        Tavis Ormandy （taviso@gentoo.org）
  
  链接：http://secunia.com/advisories/35808/
        http://blogs.technet.com/srd/archive/2009/07/14/ms09-033-the-virtual-pc-vulnerability-is-not-a-vm-breakout-issue.aspx
        http://www.microsoft.com/technet/security/bulletin/MS09-033.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA09-195A.html
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS09-033）以及相应补丁:
MS09-033：Vulnerability in Virtual PC and Virtual Server Could Allow Elevation of Privilege (969856)
链接：http://www.microsoft.com/technet/security/bulletin/MS09-033.mspx?pf=true

浏览次数：2948
严重程度：0（网友投票）