ニュース

「VMware Tools」Windows版にXXE攻撃の脆弱性 ~DoSや情報漏洩の恐れ

深刻度は「Moderate」。最新バージョンへのアップデートを推奨

VMware社のサポート文書「VMSA-2022-0015」

 米VMwareは5月24日(現地時間)、セキュリティアドバイザリ「VMSA-2022-0015」を公開し、Windows版「VMware Tools」にXML外部実体参照(XXE)攻撃の脆弱性(CVE-2022-22977)が存在することを明らかにした。本脆弱性を修正した最新バージョンへのアップデートが推奨されている。

 深刻度の評価は「Moderate」で、CVSSv3のベーススコアは5.8。外部より非公開で報告を受けたという。同社によると、「VMware Tools」をインストール済みのゲストOSで、管理者以外のローカルユーザー権限を持つ攻撃者によるサービス拒否(DoS)や意図しない情報漏洩につながる可能性があるとのこと。問題を解決したWindows版「VMware Tools」v12.0.5以上への更新を利用者に呼び掛けている。

 「VMware Tools」は、ホストOSとシームレスに連携したり、パフォーマンスを改善するためにゲストOSへインストールするサービスとモジュールのセット。「VMware」で仮想マシンを作成すると、追加でインストール可能だ。