“L1TF”脆弱性への対策を盛り込んだ「VMware Workstation」「VMware Fusion」最新版

「VMware Workstation Player」v14.1.3

　米VMwareは8月14日（現地時間）、仮想PCソフト「VMware Workstation」の最新版v14.1.3を公開した。現在、同社のWebサイトからダウンロード可能。Mac向けの「VMware Fusion」にも最新版となるv10.1.3が提供されている。

　本バージョンでは、Intel製CPUに搭載されているセキュリティ機能“Intel SGX”で発見された脆弱性“L1 Terminal Fault（L1TF、Foreshadow）”に対する緩和策が導入された（VMSA-2018-0020）。L1データキャッシュの情報を推測される恐れがあるとして、本脆弱性の深刻度は同社基準で4段階中2番目に高い“Important”と評価されている。

　なお、今回導入された対策では“Sequential-Context”と呼ばれる攻撃には対応できるものの、“Concurrent-Context”と呼ばれる攻撃を緩和することはできない。CPUのHyper-Threading機能を無効化する必要があるので注意したい。

　また、本バージョンでは「VMware Workstation」「VMware Fusion」で発見された脆弱性も1件修正された（VMSA-2018-0022）。ネットワークインターフェイスカード“E1000”のエミュレーションに範囲外書き込みの欠陥があり、ゲストOSからホストOSのコードを実行できる可能性があるとのことで、深刻度は同社基準で4段階中最高の“Critical”と評価されている。

　「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用可能。“Player”の商用ライセンスは18,565円（税込み）、“Pro”のライセンスは30,877円（税込み）となっている。