VMware製品に致命的な脆弱性 ～「ESXi」「Workstation」「Fusion」に影響 - 窓の杜

対策版への更新を

米VMwareは2月15日（現地時間）、セキュリティアドバイザリ「VMSA-2022-0004」を公開した。同社の仮想化製品「ESXi」、「Workstation」および「Fusion」に複数の脆弱性が存在するという。

同社のアドバイザリで発表された脆弱性は、以下の5件（括弧内は深刻度とCVSS v3のベーススコア）。個々の脆弱性は深刻度が「Important」「Moderate」と評価されているが、問題を組み合わせることで重大な影響を及ぼす恐れがあるとして、全体の深刻度評価は「Critical」とされている。

「Workstation」および「Fusion」に影響があるのはXHCI USB controllerの問題（CVE-2021-22040、CVE-2021-2201）のみ。最悪の場合、仮想マシンのローカル管理者権限を持つユーザーが、ホスト上で実行されている仮想マシンのVMXプロセスとしてコードを実行できてしまう可能性がある。「Workstation」はv16.2.1へ、「Fusion」v12.2.1へのアップデートが必要だ。

「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。「Player」と「Pro」がラインナップされており、「Player」は個人利用および非商用に限り無償で利用できる。「Player」の商用ライセンスは17,985円、「Pro」のライセンスは24,035円。執筆時現在の最新版は、今年1月にリリースされたv16.2.2。