United States Computer Emergency Readiness Team (US-CERT)は10月20日(米国時間)、「VMware Releases Security Updates for Multiple Products|CISA」において、VMwareの複数のプロダクトに複数の脆弱性が存在すると伝えた。これらの脆弱性を悪用されると、リモートから任意のコードを実行されたり、ハイパーバイザーのメモリヒープが破壊されたりするおそれがある。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • VMware ESXi 7.0系
  • VMware ESXi 6.7系
  • VMware ESXi 6.5系
  • VMware Fusion 12.x系
  • VMware Fusion 11.x系
  • VMware Workstation 16.x系
  • VMware Workstation 15.x系
  • VMware Cloud Foundation (ESXi) 4.x系
  • VMware Cloud Foundation (ESXi) 3.x系
  • VMware NSX-T 3.x系
  • VMware NSX-T 2.5.x系
  • VMware vCenter Server 7.0系
  • VMware vCenter Server 6.7系
  • VMware vCenter Server 6.5系
  • VMSA-2020-0023

    VMSA-2020-0023

脆弱性の中でも特にVMware ESXi OpenSLPに存在するリモートコード実行の脆弱性は深刻度が緊急(Critical)に分類されており、注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。