Windows版「VMware Workstation」に特権昇格の脆弱性

米VMwareは3月14日（現地時間）、同社の仮想化製品「VMware Workstation」に複数の脆弱性が存在することを明らかにした。修正版がリリースされている。

同社にセキュリティアドバイザリ（VMSA-2019-0002）によると、今回修正された脆弱性はCVE番号ベースで2件。ファイルパスの処理に不備があり、WindowsホストでVMXプロセスを作成すると特権昇格が発生する欠陥（CVE-2019-5511）と、VMXプロセスで使用されているCOMクラスが乗っ取られて特権昇格が引き起こされる問題（CVE-2019-5512）が解決された。いずれもGoogleの“Project Zero”によって報告されたもので、Windows版の「VMware Workstation Pro」「VMware Workstation Player」のv14.x/v15.xに影響する。

このほかにも、修正版のv14.1.6/v15.0.3では「OpenSSL」ライブラリや「libxml2」ライブラリのアップデートが実施されているとのこと。できるだけ早い対応が望ましい。

「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン（VM）として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。“Player”と“Pro”がラインナップされており、“Player”は個人利用および非商用に限り無償で利用できる。“Player”の商用ライセンスは18,565円（税込み）、“Pro”のライセンスは30,877円（税込み）。