ITmedia NEWS > セキュリティ >
ニュース
2017年03月30日 09時20分 UPDATE

VMware、仮想マシン脱出の脆弱性を修正 Pwn2Ownでハッキング実証

Pwn2Ownでは中国のチームがVMwareの複数の脆弱性を突き、ゲストOSからホストOSに抜け出す「仮想マシン脱出」を成功させていた。

[鈴木聖子,ITmedia]

 米VMwareは3月28日、仮想化製品のESXiとWorkstationおよびFusionの更新版を公開し、Zero Day Initiative(ZID)のハッキングコンペ「Pwn2Own 2017」で実証された深刻な脆弱性に対処した。

 今回のPwn2Ownでは最終日の3月17日、中国のTencent SecurityチームがVMWare Workstationの2件の脆弱性とWindowsカーネルUAFの脆弱性を組み合わせ、ゲストOSからホストOSへと抜け出す「仮想マシン脱出」を成功させていた。

photo 「Pwn2Own 2017」で実証された脆弱性に対する説明(出典:VMware)

 また、中国のQihoo 360チームもMicrosoft Edgeを標的とするハッキングで、WindowsカーネルとVMwareの脆弱性を突き、仮想マシン脱出に成功した。

 VMwareが28日に公開したセキュリティアップデートでは、Qihoo 360が発見した2件の脆弱性と、Tencent Securityが発見した2件の脆弱性を修正した。

 この4件の脆弱性のうち3件は、危険度が最も高い「Critical」に分類されており、悪用されればゲストがホスト上で任意のコードを実行できてしまう恐れがある。この脆弱性が実際に悪用された事例は確認していないという。

関連キーワード

脆弱性 | VMware | Pwn2Own


Copyright© 2017 ITmedia, Inc. All Rights Reserved.