「VMware ESXi」などに複数脆弱性 - 組み合わさると深刻な影響

VMwareの「VMware ESXi」「VMware Workstation」「VMware Fusion」に複数の脆弱性が明らかとなった。深刻な影響を及ぼすおそれがあるとしており、アップデートを呼びかけている。

あわせて5件の脆弱性が明らかとなったもの。非公開で報告を受けたもので、コンポーネントを含む「Cloud Foundation」も影響を受ける。

重要度を見ると、脆弱性単体では、4段階評価で上から2番目にあたる「重要（Important）」や1段階低い「中（Moderate）」にとどまるが、脆弱性を組み合わせて悪用されると影響が大きく、同社では今回のアドバイザリ全体を4段階中もっとも高い「クリティカル（Critical）」と評価している。

具体的には「Universal Host Controller Interface（UHCI）」の「USBコントローラー」に解放後のメモリを使用する「Use After Free」の脆弱性「CVE-2021-22040」や、ダブルフェッチの脆弱性「CVE-2021-22041」が判明した。

いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.4」。重要度は「重要（Important）」とレーティングされている。

（Security NEXT - 2022/02/16 ） ツイート

PR

関連記事

ArubaのNAC製品に深刻な脆弱性 - 任意のユーザーを作成可能に
「Outlook」にゼロデイ脆弱性、MSが悪用確認スクリプトを用意
3月公表の「FortiOS」脆弱性、判明のきっかけはゼロデイ攻撃
「Firefox 111」がリリース - 脆弱性13件を解消
「Adobe ColdFusion」にアップデート - ゼロデイ攻撃が発生、早急に対応を
MS、3月の月例パッチを公開 - ゼロデイ脆弱性2件など修正
「Microsoft Edge 111.0.1661.41」がリリース - 脆弱性21件を修正
「ForgeRock AM」のエージェントに深刻な脆弱性 - 早急に更新を
「XStream」や「Plex Media Server」の既知脆弱性が攻撃の標的に
「Proofpoint Enterprise Protection」に複数の脆弱性 - パッチがリリース