VMware Toolsに「重要」の脆弱性 権限昇格が可能になるリスク：セキュリティニュースアラート

VMwareはVMware Toolsに存在する2つの重要な脆弱性を公表した。これらのセキュリティ問題を回避するための一時的な方法は提供されていない。

[後藤大地，有限会社オングス]

　VMwareは2023年10月26日（現地時間）、「VMware Tools」に複数の脆弱（ぜいじゃく）性が存在すると発表した。脆弱性の深刻度は共通脆弱性評価システム（CVSS）のスコア値で7.5〜7.8で「重要」（Important）と分析されており注意が必要だ。該当製品を使用している場合はアップデートを適用することが推奨されている。

　現時点では、アップデートを適用する以外にこれらのセキュリティ問題を回避するための一時的な方法は提供されていない。

VMware Toolsに複数の脆弱性が見つかった（出典：VMwareのWebサイト）

回避策は提供されず　急ぎアップデートで対応を

　今回のアップデートで修正対象となった脆弱性は以下の通りだ。

• CVE-2023-34057：　CVSSv3 7.8。VMware Tools（macOS版）におけるローカル特権昇格の脆弱性。ゲストマシンへのローカルユーザーアクセス権を持つ攻撃者が仮想マシン内で権限を昇格させる可能性がある
• CVE-2023-34058：　CVSSv3 7.5。SAMLトークン署名バイパスの脆弱性。ターゲット仮想マシンでゲスト操作権限を付与されたサイバー攻撃者に特権のあるゲストエイリアスが割り当てられている場合に権限を昇格できる可能性がある

　脆弱性の影響を受けるバージョンは以下の通りだ。

• VMware Tools 12.x.x、11.x.x、10.3.x（macOS）
• VMware Tools 12.x.x、11.x.x、10.3.x（Windows）

　脆弱性が修正されたバージョンは以下の通りだ。

• VMware Tools 12.1.1（macOS）
• VMware Tools 12.3.5（Windows）

　CVE-2023-34058については、VMware ToolsのLinuxゲストOS用オープンソース実装である「Open VM Tools」も影響を受けるため、Linux系OSベンダーやコミュニティーからリリースされる修正版にアップデートすることが望まれている。

　同脆弱性については問題を一時的に回避する方法が提供されていない。該当製品を使用している場合、迅速にアップデートを適用してほしい。