「VMware Tools」にローカル特権昇格の脆弱性、ホストから仮想マシンの乗っ取りが可能に

セキュリティアドバイザリ「VMSA-2022-0024」

　米VMwareは8月23日（現地時間）、セキュリティアドバイザリ「VMSA-2022-0024」を公開した。Windows/Linux版「VMware Tools」にローカル特権昇格の脆弱性（CVE-2022-31676）が存在するとして、以下のバージョンへの更新を呼び掛けている。

• v12.x.y/v11.x.y → v12.1.0（Windows/Linux）
• v10.x.y → v10.3.25（古いLinuxリリース向け）

　深刻度の評価は「CVSSv3」のベーススコアで「7.0」（Important）。最悪の場合、管理者権限を持たないローカルPCのユーザーが仮想マシンのルート権限を取得できてしまうという。

　「VMware Tools」はホストOSとシームレスに連携したり、パフォーマンスを改善するためにゲストOSへインストールするサービスとモジュールのセット。「VMware Workstation」などで作成した仮想マシンに導入するものだ。古いバージョンをとっておいて使い回すようなことはせず、そのときどきで最新のものを利用するように心がけるべきだろう。