VMware Fusion CVE-2026-41702 TOCTOU漏洞允许本地用户提升至

执行摘要

博通公司于2026年5月14日星期四发布了针对VMware Fusion的紧急安全更新，解决了一个高严重性的检查时间与使用时间（TOCTOU）漏洞，该漏洞允许具有非管理员权限的本地攻击者升级到宿主macOS系统上的root权限。这个漏洞被追踪为CVE-2026-41702，由研究员Mathieu Farrell报告，并被供应商评为“重要”。随着博通参加本周在柏林举行的Pwn2Own黑客竞赛，预计将展示ESX hypervisor漏洞以获得高达20万美元的奖金。截至发稿时，没有披露任何野外利用的证据。

技术分析

根据博通公司的咨询，CVE-2026-41702是一个TOCTOU竞态条件，它“发生在VMware Fusion中由SETUID二进制文件执行的操作期间”。该漏洞存在于Fusion使用的setuid-root辅助二进制文件中，用于代表无特权进程执行特权操作。在二进制文件检查资源状态（例如，文件权限或所有权）与其随后使用该资源之间存在一个竞态窗口。具有macOS宿主上本地非管理员用户访问权限的攻击者可以利用这个窗口用恶意资源替换合法资源，导致SETUID二进制文件执行任意代码并获得root权限。

咨询没有指定受竞态条件影响的确切二进制文件或资源类型。然而，setuid二进制文件中的TOCTOU漏洞是一类特权升级漏洞，通常涉及临时文件、符号链接或共享内存对象。攻击向量要求攻击者已经拥有对系统的本地用户访问权限，这意味着该漏洞最相关的是在多用户环境或攻击者已经通过其他方式（例如，网络钓鱼、恶意软件或未修补的应用程序）获得立足点的场景。

博通的咨询没有包括CVSS分数，但供应商的“重要”评级与典型的TOCTOU特权升级漏洞相符。该漏洞影响macOS上的VMware Fusion；VMware Workstation，Linux/Windows的对应产品，在咨询中没有提及，并已从今年Pwn2Own竞赛的目标列表中移除，根据SecurityWeek。

补丁的时机值得注意：博通已派遣安全团队成员参加Pwn2Own柏林活动，预计参与者将针对ESX hypervisor漏洞。VMware产品历来是Pwn2Own的丰富目标，Workstation在前几年赢得了显著的奖励。Workstation从今年的目标列表中移除可能反映了攻击面的减少或竞赛组织者的战略优先级。

缓解措施与建议

博通已发布VMware Fusion的修补版本。管理员应立即更新到最新可用版本。由于该漏洞需要本地用户访问权限，组织还应审查他们的最小权限策略，并考虑是否需要在运行Fusion的系统上设置本地用户帐户。在多用户环境中，监控意外的尝试执行setuid二进制文件——特别是与VMware Fusion相关的——可能提供早期检测利用尝试。与所有VMware产品一样，组织还应监控CISA的已知被利用漏洞（KEV）目录；它目前列出了26个VMware漏洞，如果确认了野外利用，CVE-2026-41702可能会被添加。