Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「VMware ESXi」などのCD-ROMエミュレーション機能に脆弱性

VMwareは、「VMware ESXi」「VMware Workstation」「VMware Fusion」「VMware Cloud Foundation」に脆弱性が判明したことを明らかにした。アップデートの提供を順次開始している。

同社によると、外部より非公開で報告があり、これら製品における「CD-ROMデバイス」のエミュレーション機能にヒープオーバーフローの脆弱性「CVE-2021-22045」が判明したもの。

同機能を経由して仮想マシンにアクセスが可能な攻撃者は、ほかの問題と組み合わせて脆弱性を悪用することで、ハイパーバイザーにてコードを実行することが可能だという。

共通脆弱性評価システム「CVSSv3.1」によるベーススコアは「7.7」、重要度は4段階中、上から2番目にあたる「重要(Important)」とレーティングされている。

同社では、「VMware ESXi」「VMware Workstation」「VMware Fusion」向けにアップデートをリリースするとともに、緩和策をアナウンスした。ただし、「VMware ESXi 7.0」「VMware Cloud Foundation」についてはアップデートのリリースが保留となっており、注意が必要となる。

(Security NEXT - 2022/01/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Cisco ISE」の脆弱性、順次パッチ提供 - リリース後は悪用コードが利用可能に
狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起
「スシロー」のAndroidアプリにパスワード漏洩のおそれ - アップデートを
「VMware vROps」にCSRFの脆弱性 - アップデートが公開
脅威情報共有プラットフォーム「MISP」に脆弱性 - パッチで修正
脆弱性スキャナ「Nessus」にセキュリティアップデート
「VMware vRealize Log Insight」の深刻な脆弱性、PoCが公開
コンテナ管理プラットフォーム「Rancher」に深刻な脆弱性
macOS向けアップデート - 複数脆弱性を修正
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性