ニュース
VMware、仮想マシン脱出の脆弱性を修正 Pwn2Ownでハッキング実証
Pwn2Ownでは中国のチームがVMwareの複数の脆弱性を突き、ゲストOSからホストOSに抜け出す「仮想マシン脱出」を成功させていた。
米VMwareは3月28日、仮想化製品のESXiとWorkstationおよびFusionの更新版を公開し、Zero Day Initiative(ZID)のハッキングコンペ「Pwn2Own 2017」で実証された深刻な脆弱性に対処した。
今回のPwn2Ownでは最終日の3月17日、中国のTencent SecurityチームがVMWare Workstationの2件の脆弱性とWindowsカーネルUAFの脆弱性を組み合わせ、ゲストOSからホストOSへと抜け出す「仮想マシン脱出」を成功させていた。
また、中国のQihoo 360チームもMicrosoft Edgeを標的とするハッキングで、WindowsカーネルとVMwareの脆弱性を突き、仮想マシン脱出に成功した。
VMwareが28日に公開したセキュリティアップデートでは、Qihoo 360が発見した2件の脆弱性と、Tencent Securityが発見した2件の脆弱性を修正した。
この4件の脆弱性のうち3件は、危険度が最も高い「Critical」に分類されており、悪用されればゲストがホスト上で任意のコードを実行できてしまう恐れがある。この脆弱性が実際に悪用された事例は確認していないという。
関連記事
- ハッキングコンペ「Pwn2Own」、今年も中国チームの独壇場 EdgeもSafariも破られる
Adobe ReaderやMicrosoft Edge、Apple Safariなどが次々と中国チームに破られた。 - ハッキングコンペのPwn2Own、韓国と中国チームがFlashやChrome破りに成功
Apple Safari、Adobe Flash、Google Chromeが相次いでハッキングされ、Microsoft Edgeも2日目で破られた。Mozilla Firefoxは対象外とされた。 - FlashやIEのセキュリティ破りが次々と、ハッキングコンペ開催
「Pwn2Own 2015」初日はAdobe FlashやMicrosoft Internet Explorer(IE)11など4製品のセキュリティが破られた。 - Firefox、ハッキングコンペで使われた脆弱性を修正
「Firefox 52.0.1」では、中国のChaitin Security Research LabがPwn2OwnでFirefox破りに使った脆弱性を修正した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.