Tweet

ホストOSへのアクセスが可能になる問題に対処

「VMware Workstation」などがアップデート、深刻な脆弱性を修正

2008/03/21

　米ヴイエムウェアは3月17日付で、「VMware Workstation」「VMware Player」をはじめとするWindows版の仮想化ソフトウェアをアップデートした。2月24日に公表された深刻な脆弱性も含め、複数の脆弱性が修正されるため、早期のアップグレードが推奨される。

　Windows版VMwareのファイル共有機能には、パスをさかのぼることによって、本来ならばアクセスさせるつもりのないファイルやディレクトリを閲覧できてしまうディレクトリトラバーサルの脆弱性が存在する。

　悪用されれば、ゲストOS上で動作しているプログラムから、本来は隔離されているべきホストOSのファイルシステムにアクセスし、ファイルの作成や削除といった操作が可能になる恐れがある。この結果、ホストOSの重要な場所に、実行可能な悪意あるファイルなどを作成されてしまう可能性もあるという。

　この脆弱性の影響を受けるのは、Windows版VMware Workstation 6.0.2／5.5.4以前、VMware Player 2.0.2／1.0.4以前、VMware ACE 2.0.2／1.0.2以前。VMware ServerやVMware ESX Serverには影響しない。アップデートが困難な場合の回避策としては、共有フォルダ機能を無効にすることが挙げられる。

　なお、修正を施したこれらの最新バージョンと同時に、「VMware Server 1.0.5」「VMware Fusion 1.1.1」もリリースされている。