ニュース

「VMware ESXi」「VMware Workstation」「VMware Fusion」に脆弱性、修正版がリリース

未初期化のスタックメモリを使用する欠陥、情報漏洩や任意コードの実行につながる恐れ

「VMware Workstation Player」v15.0.1

 米VMwareは11月9日(現地時間)、同社の仮想化製品「VMware ESXi」「VMware Workstation」「VMware Fusion」に脆弱性が存在することを明らかにした。修正版がリリースされている。

 同社にセキュリティアドバイザリ(VMSA-2018-0027)によると、同社製品で利用可能な仮想ネットワークアダプター「vmxnet3」には初期化されていないスタックメモリを使用する欠陥があり、任意のコードが実行されたり(CVE-2018-6981)、ホストOSの情報をゲストOSから参照できてしまう(CVE-2018-6982)恐れがある。

 脆弱性の深刻度は、最高評価の“Critical”。“CVE-2018-6982(情報漏洩)”は「ESXi」v6.0/v6.5/v6.7に、“CVE-2018-6981(任意コードの実行)”は「ESXi」に加え「Workstation」v14.x/v15.xおよび「Fusion」v10.x/11.xに影響する。

 「vmxnet3」はオプションとなっているため、ユーザー側で意図的に有効化していなければ影響を受けることはないが、念のため最新版の「Workstation」v14.1.4/v15.0.1や「Fusion」v10.1.4/11.0.1へのアップデートが推奨されている。

ソフトウェア情報

「VMware Workstation Player」
【著作権者】
VMware, Inc.
【対応OS】
64bit版のWindows/Linux
【ソフト種別】
フリーソフト(個人利用のみ)
【バージョン】
15.0.1(18/11/09)