VMware製品のCD-ROMデバイスエミュレーション機能にヒープオーバーフローの脆弱性

セキュリティアドバイザリ「VMSA-2022-0001」

　米VMwareは1月4日（現地時間）、セキュリティアドバイザリ「VMSA-2022-0001」を公開した。同社の仮想化製品「VMware Fusion」、「VMware Workstation」、「VMware ESXi」、「VMware Cloud Foundation」に脆弱性が存在するという。

　同社のアドバイザリによると、VMware製品のCD-ROMデバイスエミュレーション機能にはヒープオーバーフローの脆弱性（CVE-2021-22045）がある。他の脆弱性と組み合わせることで仮想マシンからハイパーバイザー上のコードを実行できる可能性があり、深刻度は「Important」と評価されている。CVS v3のベーススコアは「7.7」。

　この問題が影響する製品と、その対応状況は以下の通り。

• Workstation 16.x：v16.2.0で解決
• Fusion 12.x：v12.2.0で解決
• ESXi 7.0：執筆時現在、パッチは未提供
• ESXi 6.7：ESXi670-202111101-SGで解決
• ESXi 6.5：ESXi650-202110101-SGで解決
• VMware Cloud Foundation (ESXi) 4.0：執筆時現在、パッチは未提供
• VMware Cloud Foundation (ESXi) 3.0：執筆時現在、パッチは未提供

　アップデートが困難であったり、パッチが未提供の場合は、CD-ROMデバイスエミュレーション機能を無効化・切断することでも対策が可能だ。