“VMware”シリーズの仮想化製品に未修正の脆弱性 ～VMwareが回避策を案内

脆弱性の告知ページ

　米VMwareは10月9日（現地時間）、同社の仮想化製品「VMware ESXi」「VMware Workstation」「VMware Fusion」にサービス運用妨害（DoS）攻撃を招く恐れのある脆弱性が存在することを明らかにした。3Dレンダリングシェーダーに無限ループが発生する欠陥があり、ゲストOSを応答不能にすることができる。場合によっては、ホストOS上で実行されている他の仮想マシン（VM）やホストOSそのものに影響が及ぶこともある。

　本脆弱性（CVE-2018-6977）の深刻度は“Important”。すべてのプラットフォーム、すべてのバージョンに影響するが、現在のところ、修正プログラムは提供されていない。同社は、3Dアクセラレーション機能を無効化するという回避策を案内している。

　なお、「VMware ESXi」の場合、同機能は初期状態で無効化されているとのこと。「VMware Workstation」および「VMware Fusion」はデフォルトで有効化されていることがあるが、VMの設定画面から無効化できる。