ニュース
「VMware Tools」にローカル特権昇格の脆弱性、ホストから仮想マシンの乗っ取りが可能に
v12.1.0の利用を
2022年8月25日 16:20
米VMwareは8月23日(現地時間)、セキュリティアドバイザリ「VMSA-2022-0024」を公開した。Windows/Linux版「VMware Tools」にローカル特権昇格の脆弱性(CVE-2022-31676)が存在するとして、以下のバージョンへの更新を呼び掛けている。
- v12.x.y/v11.x.y → v12.1.0(Windows/Linux)
- v10.x.y → v10.3.25(古いLinuxリリース向け)
深刻度の評価は「CVSSv3」のベーススコアで「7.0」(Important)。最悪の場合、管理者権限を持たないローカルPCのユーザーが仮想マシンのルート権限を取得できてしまうという。
「VMware Tools」はホストOSとシームレスに連携したり、パフォーマンスを改善するためにゲストOSへインストールするサービスとモジュールのセット。「VMware Workstation」などで作成した仮想マシンに導入するものだ。古いバージョンをとっておいて使い回すようなことはせず、そのときどきで最新のものを利用するように心がけるべきだろう。