VMwareは4月25日(米国時間)、「VMSA-2023-0008 - VMware Workstation and Fusion updates address multiple security vulnerabilities」において、VMware WorkstationおよびVMware Fusionに緊急(Critical)の脆弱性が存在する伝えた。該当する製品を使用している場合、ただちにアップデートを適用することが望まれる。

  • VMSA-2023-0008 - VMware Workstation and Fusion updates address multiple security vulnerabilities

    VMSA-2023-0008 - VMware Workstation and Fusion updates address multiple security vulnerabilities

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • VMware Workstation Pro / Player バージョン17.x
  • VMware Fusion 13.x バージョン13.x

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • VMware Workstation Pro / Player バージョン17.0.2
  • VMware Fusion 13.x バージョン13.0.2

影響を受けるプロダクトにはCVE-2023-20869、CVE-2023-20870、CVE-2023-20871、CVE-2023-20872といった複数の脆弱性が含まれている。特にホストのBluetooth機能を仮想マシンと共有する機能にスタックベースのバッファオーバーフローを引き起こす恐れがある脆弱性(CVE-2023-20869)が存在し、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3スコア値9.3で深刻度が緊急(Critical)と評価されており注意が必要。それ以外の脆弱性も深刻度が重要(Important)と評価されており早期の対応が必要と考えられている。

これら脆弱性を悪用された場合、仮想マシンのローカル管理者権限を持つユーザーがホストで実行されているVMXプロセスの権限でコードを実行可能とされている。該当する製品を使用している場合、ただちに脆弱性が修正された最新バージョンへアップデートすることが望まれる。