【更新】「VMware ESXi」など複数製品に脆弱性 - 重要度「クリティカル」

VMwareは、同社の仮想化ソフトウェア「VMware ESXi」「VMware Workstation」「VMware Fusion」のセキュリティアップデートをリリースした。いずれの環境についても重要度を「クリティカル」としており、重要度が高いことからサポートが終了した「ESXi 6.7」「同6.5」向けにもパッチを用意している。

製品によって影響を受ける脆弱性は異なるが、あわせて4件の脆弱性が明らかとなった。いずれも外部に非公開で報告を受けたという。

個々の脆弱性で見た場合、重要度がやや低くなる場合もあるが、組み合わせた場合の影響を踏まえると、いずれの製品においても重要度を4段階中もっとも高い「クリティカル（Critical）」と評価している。

「CVE-2024-22252」「CVE-2024-22253」は、USBコントローラにおいて解放後のメモリを使用するいわゆる「Use After Free」の脆弱性。悪用にはローカル管理者権限が必要となるが、仮想マシンのプロセスとしてホスト上でコードを実行されるおそれがある。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは製品によって異なり、「VMware Workstation」「VMware Fusion」については「9.3」、重要度を4段階中もっとも高い「クリティカル（Critical）」とした。「VMware ESXi」では、コードの実行がサンドボックス内にとどまることから、CVSS基本値を「8.4」、重要度を1段階低い「重要（Important）」としている。

（Security NEXT - 2024/03/06 ） ツイート

PR

関連記事

Google、「Chrome 144」をリリース - 脆弱性10件を解消
2026年最初のMS月例パッチが公開 - ゼロデイ含む脆弱性114件に対応
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処
外部アプリ保有の会員情報が流出、原因など調査 - スマレジ
複数関連サイトで改ざん被害、一時外部に誘導 - 都教組
東京デフリンピックの審判員一覧や承諾書を紛失 - 都スポーツ文化事業団
都立大教員がフィッシング被害 - 海外研究者アカウントからのメールで
「Apache Struts」にXXE脆弱性 - 修正版がリリース
「Node.js」のセキュリティ更新、現地時間1月13日にリリース予定
先週注目された記事（2026年1月4日〜2026年1月10日）