United States Computer Emergency Readiness Team (US-CERT)は5月14日(米国時間)、「VMware Releases Security Updates|US-CERT」において、VMwareがIntel製CPUの脆弱性「CVE-2018-12126」「CVE-2018-12127」「CVE-2018-12130」「CVE-2019-11091」に関するパッチを公開したと伝えた。
これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。脆弱性に関する情報は次のページにまとまっている。
Intelは同日、同社のCPUに情報漏洩を引き起こすおそれがある脆弱性が存在すると発表した。「CVE-2018-12130」を突く攻撃は「ZombieLoad Attach」と呼ばれており、セキュリティ研究者が独立したWebサイトを立ち上げて情報を公開している。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- vCenter 6.0/6.5/6.7
- ESXi 6.0/6.5/6.7
- Workstation 15.X
- Fusion 11.X
Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記の脆弱性情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。