「VMware Fusion 13.0.2」リリース、「CVE-2023-20869」の脆弱性を修正

「VMware Fusion 13」「VMware Workstation 17」にホットフィックスがリリースされましたので、変更点の概要を纏めてみたいと思います。

米Broadcom傘下のVMware, Inc.より米国時間2023年4月25日、macOSベースのデスクトップ仮想化ソフトウェア「VMware Fusion」のアップデートリリースに相当する「VMware Fusion 13.0.2 Pro Build 21581413」がリリースされ、VMwareによる公式ダウンロードページ、及びビルトインのソフトウェアアップデーター(「VMware Fusion」>「Check for Updates…(更新の確認…)」)を通じて、日本語含む複数言語リソースを包含する マルチリンガル版のバイナリーパッケージが入手可能となっています。

Bluetoothデバイス共有における脆弱性等を修正

Ver. 13を対象としたアップデートリリースとして位置付けられている当版では、全般的な安定性改善、パフォーマンス改善、バグフィックス、セキュリティアップデート等が行われており、前版(VMware Fusion 13.0.1)からの主な変更点として、以下の項目等が示されています。

  • Bluetoothデバイス共有におけるスタックバッファーオーバーフローの脆弱性を修正(The Common Vulnerabilities and Exposures project(cve.mitre.org)は「CVE-2023-20869」、VMwareセキュリティアドバイザリは「VMSA-2023-0008(Critical)」の共通脆弱性識別子を各々割り当て。共通脆弱性評価システム「CVSS v3.0(Common Vulnerability Scoring System Version 3.0 Calculator)」のスコア値は「9.3」)。この脆弱性では、仮想マシンにおけるローカル管理者権限を有する悪質なアクターによって、ホストOSにおいて実行されている仮想マシンのvmxプロセスとしてコードが実行され得たと報告されており、セキュリティコンテスト「Pwn2Own Vancouver 2023」において、Star Labsによって報告されていた
  • Bluetoothデバイス共有における情報開示の脆弱性を修正(The Common Vulnerabilities and Exposures project(cve.mitre.org)は「CVE-2023-20870」、VMwareセキュリティアドバイザリは「VMSA-2023-0008(important)」の共通脆弱性識別子を各々割り当て。共通脆弱性評価システム「CVSS v3.0(Common Vulnerability Scoring System Version 3.0 Calculator)」のスコア値は「7.1」)。この脆弱性では、仮想マシンにてホストコンピューターに接続されているBluetoothデバイスを共有した場合に発生し得た、アウトオブバンド(範囲外)の読み込みの脆弱性が修正されている。この脆弱性では、仮想マシンにおけるローカル管理者権限を有する悪質なアクターによって、ハイパーバイザーメモリに含まれる特権情報を仮想マシンから読み取られ得たとされており、セキュリティコンテスト「Pwn2Own Vancouver 2023」において、Star Labsによって報告されていた
  • VMware Fusion Raw Diskにおいて、ローカル権限の昇格が引き起こされ得た脆弱性を修正(The Common Vulnerabilities and Exposures project(cve.mitre.org)は「CVE-2023-20871」、VMwareセキュリティアドバイザリは「VMSA-2023-0008(important)」の共通脆弱性識別子を各々割り当て。共通脆弱性評価システム「CVSS v3.0(Common Vulnerability Scoring System Version 3.0 Calculator)」のスコア値は「7.3」)。この脆弱性では、ホストOSへの読み込み/書き込みアクセス権を有する悪質なアクターが特権を昇格させて、ホストOSへのルートアクセス権が取得され得たとされており、LINE Securityによって報告されていた
  • SCSI CD/DVDデバイスのエミュレーションにおいて発生し得た、アウトオブバンド(範囲外)の読み込み/書き込みの脆弱性を修正(The Common Vulnerabilities and Exposures project(cve.mitre.org)は「CVE-2023-20872」、VMwareセキュリティアドバイザリは「VMSA-2023-0008(important)」の共通脆弱性識別子を各々割り当て。共通脆弱性評価システム「CVSS v3.0(Common Vulnerability Scoring System Version 3.0 Calculator)」のスコア値は「7.7」)。この脆弱性では、物理CD/DVDドライブが接続され、仮想SCSI(Small Computer System Interface)コントローラーを使用する事ができるように構成されている仮想マシンに対して、当該の仮想マシンにアクセスする事が可能な悪質なアタッカーによって、仮想マシンからハイパーバイザーにて任意のコードが実行され得たとされており、Qihoo 360 Vulnerability Research Institute(奇虎360(Qihoo 360 Technology))によって報告されていた

当版におけるシステム要件は、64bitプロセッサーを搭載したApple製コンピューター、ホストOSは「macOS Monterey(macOS 12)」以降(「macOS Ventura(macOS 13)」を含む)となっています。Ver. 12にてサポートされていた「macOS Big Sur(macOS 11)」は 対象外となりますので御注意下さい(ゲストOSとしてのmacOSのサポートも「12」〜「13」となります)。また、既知の問題点を含む その他の詳細が、リリースノート、VMTN(VMware Technology Network)等を通じて確認可能となっています。

「VMware Workstation 17.0.2」について

その他にもVMwareからは、米国時間2023年4月25日付にて Windows/Linuxベースのデスクトップ仮想化ソフトウェア「VMware Workstation Pro」のメンテナンスアップデートに相当する「VMware Workstation 17.0.2 Pro Build 21581411」「VMware Workstation 17.0.2 Player Build 21581411」もリリースされています。

Ver. 17を対象としたメンテナンスアップデートとして位置付けられている当版では、「VMware Fusion 13.0.2」と同様のセキュリティ関連の修正(VMSA-2023-0008)等が行われています。