米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月5日、「VMware Releases Security Updates|CISA」において、VMwareが同社のVMware Workstation、VMware Fusion、およびVMware ESXiの脆弱性に対処するためのセキュリティアドバイザリをリリースしたと伝えた。
この脆弱性を悪用されると、攻撃者によってターゲットの仮想マシンからハイパーバイザーで任意のコードを実行できる可能性があるという。該当する脆弱性に関する情報はVMwareによる次のセキュリティアドバイザリページにまとまっている。この脆弱性のCVSS v3ベーススコアは7.7で、深刻度「Important(重要)」に分類されている。
この脆弱性はCD-ROMデバイスエミュレーションにおいて発見されたもの。CD-ROMデバイスエミュレーションを使用して仮想マシンにアクセスできる攻撃者が、この脆弱性と他の問題を組み合わせることで、仮想マシンからハイパーバイザーでコードを実行できる可能性がある。影響を受けるプロダクトは以下のとおり。
- VMware ESXi
- VMware Workstation
- VMware Fusion
- VMware Cloud Foundation
影響を受ける具体的なバージョン、修正バージョンについては、上記のセキュリティアドバイザリを参照のこと。