「VMware ESXi」などに複数脆弱性 - 組み合わさると深刻な影響

VMwareの「VMware ESXi」「VMware Workstation」「VMware Fusion」に複数の脆弱性が明らかとなった。深刻な影響を及ぼすおそれがあるとしており、アップデートを呼びかけている。

あわせて5件の脆弱性が明らかとなったもの。非公開で報告を受けたもので、コンポーネントを含む「Cloud Foundation」も影響を受ける。

重要度を見ると、脆弱性単体では、4段階評価で上から2番目にあたる「重要（Important）」や1段階低い「中（Moderate）」にとどまるが、脆弱性を組み合わせて悪用されると影響が大きく、同社では今回のアドバイザリ全体を4段階中もっとも高い「クリティカル（Critical）」と評価している。

具体的には「Universal Host Controller Interface（UHCI）」の「USBコントローラー」に解放後のメモリを使用する「Use After Free」の脆弱性「CVE-2021-22040」や、ダブルフェッチの脆弱性「CVE-2021-22041」が判明した。

いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.4」。重要度は「重要（Important）」とレーティングされている。

（Security NEXT - 2022/02/16 ） ツイート

PR

関連記事

Google、「Chrome 103」をリリース - 重要度「クリティカル」の脆弱性に対処
脆弱性1件を修正した「Microsoft Edge 103.0.1264.44」が公開に
2022年における危険な脆弱性タイプのトップ25が明らかに
国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
「Cisco ESA」などに深刻な脆弱性 - 認証バイパスのおそれ
「Comodo Antivirus」に脆弱性の指摘 - 研究者が公開
Mozilla、最新ブラウザ「Firefox 102」をリリース - 脆弱性19件を修正
HPE Crayスーパーコンピューターに深刻な脆弱性 - アップデートで修正
MS、「Microsoft Edge 103.0.1264.37」で独自修正した脆弱性を追加 - 評価の逆転現象も
独自の脆弱性修正含む「Microsoft Edge 103.0.1264.37」が公開