VMware ESXi/Workstation/Fusionに緊急の脆弱性、アップデートを

VMwareは3月5日(米国時間)、「VMSA-2024-0006.1」において、VMware ESXi、VMware Workstation、VMware Fusion、VMware Cloud Foundationの複数の脆弱性に対するセキュリティアドバイザリーを公開した。これら脆弱性を悪用されると、仮想マシンのローカル管理者権限を持つ攻撃者により、ホスト上で実行されている仮想マシンのVMXプロセスとしてコードを実行される可能性がある。

○脆弱性の概要

修正脆弱性の情報は次のとおり。

CVE-2024-22252 - XHCI USBコントローラーに解放後使用(UAF: use-after-free)の脆弱性

CVE-2024-22253 - UHCI USBコントローラーに解放後使用(UAF: use-after-free)の脆弱性

CVE-2024-22254 - 境界外書き込みの脆弱性

CVE-2024-22255 - UHCI USBコントローラーに情報漏洩の脆弱性

○脆弱性の影響を受ける製品

脆弱性の影響を受けるとされる製品およびバージョンは次のとおり。

VMware ESXi 7.0
VMware ESXi 8.0
VMware Workstation Pro / Player 17.x
VMware Fusion Pro / Fusion 13.x
VMware Cloud Foundation 4.x
VMware Cloud Foundation 5.x

○脆弱性が修正された製品

脆弱性を修正した製品およびバージョンは次のとおり。

VMware ESXi 7.0 Update 3p Build 23307199
VMware ESXi 8.0 Update 2b Build 23305546
VMware ESXi 8.0 Update 1d Build 23299997
VMware Workstation Pro / Player 17.5.1
VMware Fusion Pro / Fusion 13.5.1

VMwareはVMware ESXi 8.0 Update 2bへのアップデートの予定がないユーザー向けに、VMware ESXi 8.0 Update 1dアップデートを提供している。VMware ESXi 8.0 Update 1dへアップデートした場合、それ以降のアップデートはVMware ESXi 8.0 Update 2b以降のバージョンへのアップデートがサポートされる。

VMware Cloud Foundation 4.x/5.xの修正については、次のナレッジベースが公開されている。

Applying individual product updates to VMware Cloud Foundation environments using Async Patch Tool (AP Tool) (88287)

このセキュリティアドバイザリーでは製造終了品について言及されていないが、VMware ESXi 6.7、VMware ESXi 6.5、VMware Cloud Foundation 3.xのパッチが次のとおり提供されている。

VMware ESXi 6.7, Patch Release ESXi670-202403001
VMware ESXi 6.5, Patch Release ESXi650-202403001
Guidelines for Async application of VMware ESXi 6.7, Patch Release ESXi670-202403001 on VCF 3.11.x releases (96717)

○対策

これら脆弱性の深刻度は最も高いもので緊急(Critical)と評価されており注意が必要。VMwareは該当する製品を使用している顧客に対し、セキュリティアドバイザリーを確認して速やかにパッチを適用することを推奨している。