ニュース

VMware、セキュリティコンテスト“Pwn2Own 2019”で報告された脆弱性に対策

「VMware ESXi」、「VMware Workstation」、「VMware Fusion」でアップデートを実施

「VMware Workstation Player」

 米VMwareは3月28日(現地時間)、セキュリティアドバイザリ“VMSA-2019-0005”を公表した。「VMware ESXi」、「VMware Workstation」、「VMware Fusion」で複数の脆弱性が修正されている。

 今回修正された脆弱性はCVE番号ベースで5件となっており、深刻度は“Critical”。セキュリティコンテスト“Pwn2Own 2019”で報告された問題も含まれている。

 “Pwn2Own 2019”では、仮想USB 1.1 UHCI(Universal Host Controller Interface)に存在する範囲外読み取り・書き込みの脆弱性(CVE-2019-5518)と、TOCTTOU(Time of check to time of use:セキュリティチェックのあと、利用されるまでの間に状態が変化してしまう実装不備)の脆弱性(CVE-2019-5519)の組み合わせにより、ゲストOSからホストOS上でコードを実行できてしまうことが実演されていた。

 この脆弱性への対策を行うには、以下の最新版へアップデートする必要がある。また、「ESXi」に関してもパッチの適用が必要だ。

  • 「Workstation 15」:v15.0.4
  • 「Workstation 14」:v14.1.7
  • 「Fusion 11」:v11.0.3
  • 「Fusion 10」:v10.1.6

 「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン(VM)として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用できる。“Player”の商用ライセンスは18,565円(税込み)、“Pro”のライセンスは30,877円(税込み)。

ソフトウェア情報

「VMware Workstation Player」
【著作権者】
VMware, Inc.
【対応OS】
64bit版のWindows/Linux
【ソフト種別】
フリーソフト(個人利用のみ)
【バージョン】
15.0.4(19/03/28)