米VMwareは3月14日(現地時間)、同社の仮想化製品「VMware Workstation」に複数の脆弱性が存在することを明らかにした。修正版がリリースされている。
同社にセキュリティアドバイザリ(VMSA-2019-0002)によると、今回修正された脆弱性はCVE番号ベースで2件。ファイルパスの処理に不備があり、WindowsホストでVMXプロセスを作成すると特権昇格が発生する欠陥(CVE-2019-5511)と、VMXプロセスで使用されているCOMクラスが乗っ取られて特権昇格が引き起こされる問題(CVE-2019-5512)が解決された。いずれもGoogleの“Project Zero”によって報告されたもので、Windows版の「VMware Workstation Pro」「VMware Workstation Player」のv14.x/v15.xに影響する。
このほかにも、修正版のv14.1.6/v15.0.3では「OpenSSL」ライブラリや「libxml2」ライブラリのアップデートが実施されているとのこと。できるだけ早い対応が望ましい。
「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン(VM)として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用できる。“Player”の商用ライセンスは18,565円(税込み)、“Pro”のライセンスは30,877円(税込み)。
同社にセキュリティアドバイザリ(VMSA-2019-0002)によると、今回修正された脆弱性はCVE番号ベースで2件。ファイルパスの処理に不備があり、WindowsホストでVMXプロセスを作成すると特権昇格が発生する欠陥(CVE-2019-5511)と、VMXプロセスで使用されているCOMクラスが乗っ取られて特権昇格が引き起こされる問題(CVE-2019-5512)が解決された。いずれもGoogleの“Project Zero”によって報告されたもので、Windows版の「VMware Workstation Pro」「VMware Workstation Player」のv14.x/v15.xに影響する。
このほかにも、修正版のv14.1.6/v15.0.3では「OpenSSL」ライブラリや「libxml2」ライブラリのアップデートが実施されているとのこと。できるだけ早い対応が望ましい。
「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン(VM)として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用できる。“Player”の商用ライセンスは18,565円(税込み)、“Pro”のライセンスは30,877円(税込み)。
コメント
コメントを投稿