「VMware Workstation」「VMware Fusion」に深刻度「Critical」の脆弱性

セキュリティアドバイザリ「VMSA-2023-0008」

　米VMwareは4月25日（現地時間）、セキュリティアドバイザリ「VMSA-2023-0008」を公開した。「VMware Workstation」「VMware Fusion」に複数の脆弱性があり、同日付で修正版がリリースされている。

　今回のアップデートで修正された脆弱性は、以下の4件。最大深刻度は「Critical」と評価されており、一刻も早い対処が必要だ（括弧内はCVSSv3の基本値と深刻度の評価）。

• CVE-2023-20869：ホストのBluetoothデバイスを仮想マシンと共有する機能におけるスタックベースのオーバーフロー。仮想マシンのプロセスとしてホスト上でコードを実行される可能性（9.3：Critical）
• CVE-2023-20870：ホストのBluetoothデバイスを仮想マシンと共有する機能における境界外読み取りの問題。情報漏洩につながる恐れ（7.1：Important）
• CVE-2023-20871：ローカル権限昇格の脆弱性。「Fusion」のみに影響（7.3：Important）
• CVE-2023-20872：SCSI接続CD/DVDデバイスのエミュレーションにおける境界外の読み取り・書き込みの脆弱性。仮想マシンからハイパーバイザー上でコードを実行できる可能性（7.7：Important）

　Windows向け「VMware Workstation」の場合、「CVE-2023-20872」がv17.0.1で修正済み。「CVE-2023-20869」と「CVE-2023-20870」に関しては、最新版のv17.0.2へアップデートする必要がある。

　「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には2011年およびそれ以降の64bit版CPU/OSが必要だ。エディションは「Player」と「Pro」があり、「Player」は個人利用および非商用に限り無償で利用できる。「Player」の商用ライセンスは22,440円、「Pro」のライセンスは29,975円。