VMwareが投機的実行機能を持つCPUに対するサイドチャネル攻撃「Spectre」脆弱性について「VMware Fusion 8.5.9」で既に修正済であると発表しています。詳細は以下から。
アメリカ国土安全保障省のキュリティ機関であるUS-CERTは現地時間2018年01月04日、IntelやARMなど投機的実行機能を持つCPUに対するサイドチャネル攻撃によりユーザーパスワードなどが窃取される可能性がある「Meltdown(CVE-2017-5754)」および「Spectre(CVE-2017-5753, CVE-2017-5715)」脆弱性について各ベンダーの対応をまとめたページを公開しましたが、同ページのリンクによるとMac向け仮想化ソリューションを提供しているVMwareにもSpectre脆弱性が存在するそうです。
TA18-004A: Meltdown and Spectre Side-Channel Vulnerability Guidance https://t.co/jZWEuaJATS
— US-CERT (@USCERT_gov) 2018年1月4日
The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the identifiers CVE-2017-5753 (Bounds Check bypass) and CVE-2017-5715 (Branch Target Injection) to these issues.
Column 5 of the following table lists the action required to remediate the observed vulnerability in each release, if a solution is available.VMSA-2018-0002 – VMware
Spectre脆弱性の影響を受けるVMwareのプロダクトは以下の通りで、Mac用プロダクトでは2017年09月にリリースされた「VMware Fusion v10.x」は影響を受けないものの、
| VMware Product | Product Version | Running on | Severity | Replace with/ Apply Patch | Mitigation/ Workaround |
|---|---|---|---|---|---|
| ESXi | 6.5 | Any | Important | ESXi650-201712101-SG | None |
| ESXi | 6.0 | Any | Important | ESXi600-201711101-SG | None |
| ESXi | 5.5 | Any | Important | ESXi550-201709101-SG | None |
| Workstation | 14.x | Any | N/A | Not affected | N/A |
| Workstation | 12.x | Any | Important | 12.5.8 | None |
| Fusion | 10.x | OS X | N/A | Not affected | N/A |
| Fusion | 8.x | OS X | Important | 8.5.9 | None |
2015年10月にリリースされ現在もサポートが続いている「VMware Fusion v8.x」が影響を受けるそうですが、Fusion v8は2017年11月16日に公開した「VMware Fusion v8.5.9」で既にこの脆弱性を修正済とのことなので、ユーザーの方は最新のアップデートを適用することをお勧めします。
- VMSA-2018-0002 – VMware
コメント