「VMware Workstation」「VMware Fusion」などに致命的な脆弱性、修正版が公開

セキュリティアドバイザリ「VMSA-2022-0033」

　米VMwareは12月13日（現地時間）、セキュリティアドバイザリ「VMSA-2022-0033」を公開した。中国で開催されていたハッキングコンテスト「GeekPwn 2022」で「VMware Workstation」などの同社製品に致命的な脆弱性が発見されたという。

　アドバイザリによると、以下の同社製品に含まれているUSB 2.0コントローラー（EHCI）にはヒープ境界外書き込みの脆弱性が存在する。

• VMware ESXi
• VMware Workstation Pro/Player
• VMware Fusion Pro/Fusion
• VMware Cloud Foundation

　この問題が悪用されると、仮想マシンのローカル管理者権限をもつユーザーが、ホスト上で実行されている仮想マシンのVMXプロセスとしてコードを実行できてしまう可能性がある。「ESXi」ならばVMXのサンドボックス内で実行されるだけだが、「Workstation」や「Fusion」の場合、インストールされているマシンでコードが実行される可能性がある。

　深刻度の評価は「CVSSv3」の基本値で最大「9.3」。「Workstation」と「Fusion」は以下のバージョンへアップデートする必要がある。クラウド製品については対策済み。

• Workstation v17.x：影響なし
• Workstation v16.x：v16.2.5
• Fusion v13.x：影響なし
• Fusion v12.x：v12.2.5

　「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要だ。エディションは「Player」と「Pro」があり、「Player」は個人利用および非商用に限り無償で利用できる。「Player」の商用ライセンスは22,440円、「Pro」のライセンスは29,975円。