「VMware Fusion 11.0.3」リリース

/ VMware / By

「Intel e1000」ネットワークドライバの脆弱性等を修正

Dell TechnologiesグループのVMwareより米国時間2019年3月29日、macOS(OS X)ベースのデスクトップ仮想化ソフトウェア「VMware Fusion」のアップデートリリースに相当する「VMware Fusion 11.0.3 Build 12992109」がリリースされ、現在VMwareによる公式ダウンロードページ、及びビルトインのソフトウェアアップデータ(「VMware Fusion」>「Check for Updates…(更新の確認…)」)を通じて、日本語含む複数言語リソースを包含する マルチリンガル版のバイナリパッケージが入手可能となっています(dmg 約495.51MB)。

Ver. 11を対象としたメンテナンスアップデートとして位置付けられている当版では、バグフィックス、セキュリティアップデート、パフォーマンス改善等が行われており、前版(「11.0.2 Build 10952296」)からの主な変更点として、以下の項目等が示されています。

  • Virtual USB 1.1 UHCI(Universal Host Controller Interface)における、アウトオブバンド(範囲外)の読み込み、書き込みの脆弱性)、及びTOCTTOU(Time of check to time of use)の脆弱性の組み合わせに起因して、ゲストOS(仮想マシン)によって、ホストOS上で任意のコードが実行されるケースが確認されていた問題を修正(The Common Vulnerabilities and Exposures project(cve.mitre.org)は「CVE-2019-5518」「CVE-2019-5519」、VMwareセキュリティアドバイザリは「VMSA-2019-0005(Critical)」の共通脆弱性識別子を各々割り当て)。この脆弱性は、セキュリティコンテスト「Pwn2Own 2019」において実演されていた
  • Intel e1000、Intel e1000c仮想ネットワークアダプタにおける アウトオブバンド(範囲外)の書き込みの脆弱性に起因して、2バイトのヒープ上書きの悪用に成功した場合に、特権の昇格が引き起こされ得た脆弱性を修正(The Common Vulnerabilities and Exposures project(cve.mitre.org)は「CVE-2019-5515」、VMwareセキュリティアドバイザリは「VMSA-2019-0005(Critical)」の共通脆弱性識別子を各々割り当て)
  • Webソケットを通じてアクセス可能な、特定の認証されていないAPIによる脆弱性に起因して、ゲストOS拡張機能「VMware Tools」がインストールされている仮想マシンでにおいて、攻撃者によって不正な機能が実行され得た脆弱性を修正。この問題では、JavaScriptを実行するようにホストユーザーを欺き、当該問題を悪用されるケースが確認されており、ゲストOSにおいてコマンドを実行するために、更に悪用される可能性も指摘されていた(The Common Vulnerabilities and Exposures project(cve.mitre.org)は「CVE-2019-5514」、VMwareセキュリティアドバイザリは「VMSA-2019-0005(Critical)」の共通脆弱性識別子を各々割り当て)

当版におけるシステム要件は、64bitプロセッサを搭載したApple製コンピュータ、ホストOSは「macOS Sierra 10.12」以降(「macOS Mojave 10.14」を含む)となっています。Ver. 8.5にてサポートされていた「OS X Mavericks(OS X 10.9)」「OS X Yosemite(OS X 10.10)」「OS X El Capitan(OS X 10.11)」は対象外となりますので御注意下さい(ゲストOSとしてのOS X(macOS)のサポートも「10.12」〜「10.14」となります)。また、「Direct3D 10.1」を利用可能なハードウェア要件は、「MacBook(Early 2015)」以降、「MacBook Air(Mid 2012)」以降、「MacBook Pro(Mid 2012)」以降、「Mac mini(Late 2012)」以降、「iMac(Late 2012)」以降、「Mac Pro(Late 2013)」以降となっています。

「VMware Workstation 15.0.4」について

その他にもVMwareからは、同日付にて Windows/Linuxベースのデスクトップ仮想化ソフトウェア「VMware Workstation Pro」のアップデートリリースに相当する「VMware Workstation 15.0.4 Pro Build 12990004」「VMware Workstation 15.0.4 Player Build 12990004」もリリースされており、同版では「VMware Fusion 11.0.3 Build 12992109」と同様のセキュリティ関連の修正等が行われています。