「ESXi」「Workstation」「Fusion」などVMware製品に複数の脆弱性 ～最大深刻度は“Critical”

セキュリティアドバイザリ“VMSA-2020-0023”

　米VMwareは10月20日（現地時間）、セキュリティアドバイザリ“VMSA-2020-0023”を公開した。同社の仮想化製品「VMware ESXi」、「VMware Workstation」、「VMware Fusion」、「NSX-T」に複数の脆弱性が存在するという。

　同社のアドバイザリによると、今回発表された脆弱性はCVE番号ベースで6件。なかでも「OpenSLP」におけるリモートコード実行の脆弱性（CVE-2020-3992）は重大で、深刻度は“Critical”。CVSSv3”の基本値で“9.8”と評価されている。この脆弱性は「VMware ESXi」などに影響する。

　「Workstation」や「Fusion」に影響のあるものでは、TOCTOU（チェックした後に条件が変わり、チェックをすり抜けてしまうこと）問題に起因する範囲外読み取りの脆弱性（CVE-2020-3982）が深刻度“Important”と評価されている。“CVSSv3”の基本値は“7.1”で、「Fusion 11」はv11.5.6で（今年6月リリース）修正済み。「Workstation 15」の修正版は未提供なので注意したい。なお、「Workstation 16」「Fusion 12」には影響しない。

　「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用できる。最新版はv16で、CLIツール「vctl」の強化、「DirectX 11」と「OpenGL 4.1」への対応などが行われている。