ニュース
VMware、セキュリティコンテスト“Pwn2Own 2019”で報告された脆弱性に対策
「VMware ESXi」、「VMware Workstation」、「VMware Fusion」でアップデートを実施
2019年3月29日 14:48
米VMwareは3月28日(現地時間)、セキュリティアドバイザリ“VMSA-2019-0005”を公表した。「VMware ESXi」、「VMware Workstation」、「VMware Fusion」で複数の脆弱性が修正されている。
今回修正された脆弱性はCVE番号ベースで5件となっており、深刻度は“Critical”。セキュリティコンテスト“Pwn2Own 2019”で報告された問題も含まれている。
“Pwn2Own 2019”では、仮想USB 1.1 UHCI(Universal Host Controller Interface)に存在する範囲外読み取り・書き込みの脆弱性(CVE-2019-5518)と、TOCTTOU(Time of check to time of use:セキュリティチェックのあと、利用されるまでの間に状態が変化してしまう実装不備)の脆弱性(CVE-2019-5519)の組み合わせにより、ゲストOSからホストOS上でコードを実行できてしまうことが実演されていた。
この脆弱性への対策を行うには、以下の最新版へアップデートする必要がある。また、「ESXi」に関してもパッチの適用が必要だ。
- 「Workstation 15」:v15.0.4
- 「Workstation 14」:v14.1.7
- 「Fusion 11」:v11.0.3
- 「Fusion 10」:v10.1.6
「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン(VM)として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用できる。“Player”の商用ライセンスは18,565円(税込み)、“Pro”のライセンスは30,877円(税込み)。
ソフトウェア情報
- 「VMware Workstation Player」
- 【著作権者】
- VMware, Inc.
- 【対応OS】
- 64bit版のWindows/Linux
- 【ソフト種別】
- フリーソフト(個人利用のみ)
- 【バージョン】
- 15.0.4(19/03/28)