VMware製品に致命的な脆弱性 ～「ESXi」「Workstation」「Fusion」に影響

セキュリティアドバイザリ「VMSA-2022-0004」

　米VMwareは2月15日（現地時間）、セキュリティアドバイザリ「VMSA-2022-0004」を公開した。同社の仮想化製品「ESXi」、「Workstation」および「Fusion」に複数の脆弱性が存在するという。

　同社のアドバイザリで発表された脆弱性は、以下の5件（括弧内は深刻度とCVSS v3のベーススコア）。個々の脆弱性は深刻度が「Important」「Moderate」と評価されているが、問題を組み合わせることで重大な影響を及ぼす恐れがあるとして、全体の深刻度評価は「Critical」とされている。

• CVE-2021-22040：XHCI USB controllerにおける解放後メモリ利用（use-after-free）の問題（Important/8.4）
• CVE-2021-22041：XHCI USB controllerにおけるダブルフェッチの問題（Important/8.4）
• CVE-2021-22042：ESXi設定ファイルへの不正アクセス（Important/8.2）
• CVE-2021-22043：ESXiの一時ファイルを処理する方法にTOCTOU（Time-of-check-Time-of-use）の脆弱性（Important/8.2）
• CVE-2021-22050：rhttpproxyのHTTP POST処理が低速で、ESXiがサービス拒否状態に陥る問題（Moderate/5.3）

　「Workstation」および「Fusion」に影響があるのはXHCI USB controllerの問題（CVE-2021-22040、CVE-2021-2201）のみ。最悪の場合、仮想マシンのローカル管理者権限を持つユーザーが、ホスト上で実行されている仮想マシンのVMXプロセスとしてコードを実行できてしまう可能性がある。「Workstation」はv16.2.1へ、「Fusion」v12.2.1へのアップデートが必要だ。

　「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。「Player」と「Pro」がラインナップされており、「Player」は個人利用および非商用に限り無償で利用できる。「Player」の商用ライセンスは17,985円、「Pro」のライセンスは24,035円。執筆時現在の最新版は、今年1月にリリースされたv16.2.2。