「VMware Workstation」や「VMware Fusion」に複数の脆弱性 ～最新版への更新を

セキュリティアドバイザリ“VMSA-2020-0011”

　米VMwareは5月28日（現地時間）、セキュリティアドバイザリ“VMSA-2020-0011”を公開した。同社の仮想化製品「VMware Workstation」や「VMware Fusion」、「VMware Remote Console」、「VMware Horizon Clients」に複数の脆弱性が存在するという。

　今回公表された脆弱性は、CVE番号ベースで3件。内容はサービスオープナーのTOCTOU（チェックした後に条件が変わり、チェックをすり抜けてしまうこと）問題に起因する権限昇格（CVE-2020-3957、Mac向け製品のみ）、Shader機能でサービス拒否（DoS）攻撃を招きうる欠陥（CVE-2020-3958）、VMCIモジュールのメモリリーク（CVE-2020-3959）となっている。深刻度がもっとも高い“CVE-2020-3957”の評価は、“CVSSv3”の基本値で“7.3”。

　同社は重大度を“Important”とし、修正版の「VMware Workstation Pro 15.5.2」や「VMware Workstation Player 15.5.2」、「VMware Fusion 11.5.5」へアップデートするよう呼び掛けている。

　「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用できる。“Player”の商用ライセンスは18,645円（税込み）、“Pro”のライセンスは31,075円（税込み）。最新版はv15.5.5、「Hyper-V」との共存がサポートでされた。