VMwareは12月3日(現地時間)、VMware ESXi、ESX、Workstation、Fusionのセキュリティアップデートを配布した。仮想マシンのゲストOSとして32ビットのWindows 2000 Server、Windows XP、Windows 2003 Serverを稼働させている場合に特権昇格する脆弱性を修正する。VMwareのWebサイトからダウンロードできる。
VMwareが公開したセキュリティアドバイザリによると、VMwareのドライバの1つLGTOSYNC.SYSのコントロールコードの取り扱いに脆弱性があり、悪意のあるユーザーがローカルからメモリ割り当てを変えることで、特権昇格を引き起こすことができるという。
ただし、ホスト側のメモリがゲストOSから書き換えられるわけではなく、ゲストOS側からホスト側に特権昇格を引き起こすことはできないとのこと。CVE番号はCVE-2013-3519。対象となるバージョンは以下のとおり。
- VMware Workstation 9.x prior to version 9.0.3
- VMware Player 5.x prior to version 5.0.3
- VMware Fusion 5.x prior to version 5.0.4
- VMware ESXi 5.1 without patch ESXi510-201304102
- VMware ESXi 5.0 without patch ESXi500-201303102
- VMware ESXi 4.1 without patch ESXi410-201301402
- VMware ESXi 4.0 without patch ESXi400-201305401
- VMware ESX 4.1 without patch ESX410-201301401
- VMware ESX 4.0 without patch ESX400-201305401