To Live A Free Life

自由な生活をする為に、ブログを活用して副業で少しでも快適な生活を手に入れる為の情報発信ブログ!

VMSA-2016-0014 VMware ESXi、Workstation、Fusion、Toolsで8件の脆弱性

VMware ESXi」「VMware Workstation」「VMware Fusion」「VMware Tools」において、あわせて8件の脆弱性があり、それに対応する修正パッチが公開されました。

 

 

公式サイトは英語なんですが、日本語で分かりやすい記事が書かれているサイトがこちら。

www.security-next.com 

 

VMwareは、同社複数の製品に対してセキュリティパッチをリリースし、深刻な脆弱性を解消した。

VMware ESXi」「VMware Workstation」「VMware Fusion」「VMware Tools」において、あわせて8件の脆弱性が明らかとなったもの。同社は脆弱性の重要度について「クリティカル(Critical)」とレーティングしている。

具体的には、「VMware Workstation」におけるバッファオーバーフロー脆弱性「CVE-2016-7081」をはじめ、メモリ破壊が生じる複数の脆弱性インストーラーが不正なDLLファイルを読み込む脆弱性が判明。また「VMware Tools」には、NULLポインタ参照の脆弱性「CVE-2016-7079」「 CVE-2016-7080」などが含まれる。

 

今回修正した脆弱性の情報です。

CVE-2016-7081
CVE-2016-7082
CVE-2016-7083
CVE-2016-7084
CVE-2016-7079
CVE-2016-7080
CVE-2016-7085
CVE-2016-7086

 

そして、こちらが本家サイトです。

www.vmware.com

 

VMware Security Advisory

Advisory ID: VMSA-2016-0014
Severity: Critical
Synopsis: VMware ESXi, Workstation, Fusion, and Tools updates address multiple security issues
Issue date: 2016-09-13
Updated on: 2016-09-13 (Initial Advisory)
CVE numbers: CVE-2016-7081, CVE-2016-7082, CVE-2016-7083, CVE-2016-7084, CVE-2016-7079, CVE-2016-7080, CVE-2016-7085, CVE-2016-7086

1. Summary
VMware ESXi, Workstation, Fusion, and Tools updates address multiple security issues
2. Relevant Products
ESXi
VMware Workstation Pro
VMware Workstation Player
VMware Fusion
VMware Tools
3. Problem Description
a. VMware Workstation heap-based buffer overflow vulnerabilities via Cortado ThinPrint

VMware Workstation contains vulnerabilities that may allow a Windows-based Virtual Machine (VM) to trigger a heap-based buffer overflow. Exploitation of these issues may lead to arbitrary code execution in VMware Workstation running on Windows.

Exploitation is only possible if virtual printing has been enabled in VMware Workstation. This feature is not enabled by default. VMware Knowledge Base article 2146810 documents the procedure for enabling and disabling this feature.

VMware would like to thank E0DB6391795D7F629B5077842E649393 working with Trend Micro's Zero Day Initiative for reporting this issue to us. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the identifier CVE-2016-7081 to this issue.

Column 5 of the following table lists the action required to remediate the vulnerability in each release, if a solution is available.

 

関連する商品を会社で使っている場合は、対応が必要になりますね。中小企業の場合、こういったセキュリティパッチが出ても適用しないところがほとんどだと思いますが。