United States Computer Emergency Readiness Team (US-CERT)は7月10日(米国時間)、「VMware Releases Security Updates for Multiple Products|CISA」において、VMwareの複数の仮想化製品に脆弱性が存在し、開発元が修正版をリリースしたと伝えた。この脆弱性を悪用されると、攻撃者によって対象システムの管理者権限が乗っ取られる危険性がある。

  • VMware Releases Security Updates for Multiple Products|CISA

    VMware Releases Security Updates for Multiple Products | CISA

該当する脆弱性に関する情報は、次のページにまとまっている。

この脆弱性が含まれる製品およびバージョンは以下の通り。

  • VMware Fusion / VMware Fusion Pro 11.x
  • VMware Remote Console for Mac (VMRC for Mac) 11.x以上
  • VMware Horizon Client for Mac 5.x以上

これらの製品では、XPCクライアントの検証処理の不備によって、通常のユーザー権限を持つ攻撃者がシステムの管理者権限を奪取できる可能性があるとのこと。

開発元のVMwareからは既にこの問題を修正したバージョンがリリースされている。修正版のバージョン番号は以下の通り。

  • VMware Fusion / VMware Fusion Pro 11.5.5
  • VMware Remote Console for Mac (VMRC for Mac) 11.2.0
  • VMware Horizon Client for Mac 5.4.3

この脆弱性のCVSSv3スコアは7.8で、深刻度は"重要"(Important)に分類されている。Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対して上記のセキュリティ情報をチェックし、必要なアップデートを適用することを推奨している。