Workstation/FusionなどVMware製品に致命的な脆弱性、VMからハイパーバイザーのコードを実行可能

セキュリティアドバイザリ“VMSA-2020-0015”

　米VMwareは6月23日（現地時間）、セキュリティアドバイザリ“VMSA-2020-0015”を公開した。同社の仮想化製品「VMware ESXi」、「VMware Workstation」、「VMware Fusion」、「VMware Cloud Foundation」に複数の脆弱性が存在するという。

　同社のアドバイザリによると、今回発表された脆弱性はCVE番号ベースで10件。なかでもSVGAデバイスにおけるメモリの解放後利用（use-after-free）の欠陥（CVE-2020-3962）は重大で、3Dグラフィックスを有効化した仮想マシンからハイパーバイザー上のコードを実行できてしまう可能性がある。深刻度の評価は、CVSSv3”の基本値で“9.3”。

　同社は重大度を同社の基準で4段階中最高の“Critical”とし、修正版の「VMware Workstation 15.5.5」や「VMware Fusion 11.5.5」へのアップデートを呼び掛けている。

　「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用できる。“Player”の商用ライセンスは18,645円（税込み）、“Pro”のライセンスは31,075円（税込み）。最新版はv15.5.5で、「Hyper-V」との共存がサポートされた。