「VMware Workstation」「VMware Fusion」などに脆弱性、修正版がリリース

「VMware Workstation Player」v15.5.0

　米VMwareは9月19日（現地時間）、同社の仮想化製品「VMware Workstation」「VMware Fusion」に脆弱性が存在することを明らかにした。修正版がリリースされている。

　同社のセキュリティアドバイザリ（VMSA-2019-0014.1）によると、同社の仮想化製品には2種類の脆弱性“CVE-2019-5527”と“CVE-2019-5535”が存在する。

　“CVE-2019-5527”は、仮想サウンドデバイスにおけるメモリの解放後利用（use-after-free）により、ゲストマシンからホストOSで任意のコードを実行可能になるというもの。「VMware ESXi」、「VMware Workstation」、「VMware Fusion」、「VMware Remote Console」「VMware Horizon Client」に影響し、深刻度は“Important”。“CVSSv3”の基本値は“8.5”と評価されている。

　“CVE-2019-5535”はゲストOSから細工を施したIPv6パケットを送信することで、VMware NAT（VMNAT）モードを利用するゲストOSすべてをネットワークアクセス不能状態に陥れるサービス拒否（DoS）攻撃が可能となる。

　なお、「VMNAT」のIPv6は既定で無効となっているため、脆弱性の深刻度は“Moderate”、“CVSSv3”の基本値は“4.7”と評価されている。「VMware Workstation」はv15.5.0へ、「VMware Fusion」はv11.5.0へ更新することで問題は解決される。

　そのほかにも、「VMware Workstation」v15.5.0では以下のOSが新たにゲストOSとして利用できるようになった。

• Windows 10 19H2
• Debian 10.0/10.1
• Debian 9.11
• Oracle Linux 8.0
• SLE 15 SP1
• FreeBSD 12.0
• PhotonOS 3.0

　また、ジャンボフレームへの対応や複数モニターを切り替えられるキーボードショートカットを導入。アップグレードの際にネットワーク設定が保持されるようになったほか、PVSCIデバイスを公式サポートして「Workstation」と「vSphere」間の仮想マシン移行を容易にするといった改善も行われている。

9月24日14時追記： “CVE-2019-5527”に関する情報を追記しました。