VMware、セキュリティコンテスト“Pwn2Own 2019”で報告された脆弱性に対策

「VMware Workstation Player」

　米VMwareは3月28日（現地時間）、セキュリティアドバイザリ“VMSA-2019-0005”を公表した。「VMware ESXi」、「VMware Workstation」、「VMware Fusion」で複数の脆弱性が修正されている。

　今回修正された脆弱性はCVE番号ベースで5件となっており、深刻度は“Critical”。セキュリティコンテスト“Pwn2Own 2019”で報告された問題も含まれている。

　“Pwn2Own 2019”では、仮想USB 1.1 UHCI（Universal Host Controller Interface）に存在する範囲外読み取り・書き込みの脆弱性（CVE-2019-5518）と、TOCTTOU（Time of check to time of use：セキュリティチェックのあと、利用されるまでの間に状態が変化してしまう実装不備）の脆弱性（CVE-2019-5519）の組み合わせにより、ゲストOSからホストOS上でコードを実行できてしまうことが実演されていた。

　この脆弱性への対策を行うには、以下の最新版へアップデートする必要がある。また、「ESXi」に関してもパッチの適用が必要だ。

• 「Workstation 15」：v15.0.4
• 「Workstation 14」：v14.1.7
• 「Fusion 11」：v11.0.3
• 「Fusion 10」：v10.1.6

　「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用できる。“Player”の商用ライセンスは18,565円（税込み）、“Pro”のライセンスは30,877円（税込み）。