VMSA-2019-0006：VMware ESXi、Workstation、Fusionの更新プログラムは、複数の領域外読み取りの脆弱性に対処します。

medium Nessus プラグイン ID 124192

Language:

概要

リモートのVMware ESXiホストに1つ以上のセキュリティ関連のパッチがありません。

説明

a. VMware ESXi、Workstation、Fusionの頂点シェーダーの領域外読み取りの脆弱性：VMware ESXi、Workstation、Fusionの更新プログラムは、頂点シェーダー機能の領域外読み取りの脆弱性に対処します。この問題を悪用するには、攻撃者は3Dグラフィックが有効になっている仮想マシンにアクセスできる必要があります。この問題の悪用に成功すると、情報漏えいを引き起こしたり、通常のユーザー権限を持つ攻撃者が自分のVM上でサービス拒否状態を引き起こしたりする可能性があります。この問題の回避策には、3Dアクセラレーション機能を無効にする方法などがあります。ESXiではこの機能はデフォルトで有効になっておらず、WorkstationおよびFusionではデフォルトで有効になっています。VMwareは、この問題を報告してくれたCisco TalosのPiotr Bania氏に感謝の意を表します。Common Vulnerabilities and Exposuresプロジェクト（cve.mitre.org）により、この問題に識別子CVE-2019-5516が割り当てられています。b.VMware ESXi、Workstation、Fusionの複数のシェーダートランスレーターの領域外読み取りの脆弱性：VMware ESXi、Workstation、Fusionのシェーダートランスレーターに、複数の領域外読み取りの脆弱性があります。これらの問題を悪用するには、攻撃者は3Dグラフィックスが有効になっている仮想マシンにアクセスできる必要があります。これらの問題の悪用に成功すると、情報漏えいを引き起こしたり、通常のユーザー権限を持つ攻撃者が自分のVM上でサービス拒否状態を引き起こしたりする可能性があります。これらの問題の回避策には、3Dアクセラレーション機能を無効にする方法などがあります。ESXiではこの機能はデフォルトで有効になっておらず、WorkstationおよびFusionではデフォルトで有効になっています。VMwareは、これらの問題を報告してくれたTencent Security ZhanluLabのRanchoIce氏に感謝の意を表します。Common Vulnerabilities and Exposuresプロジェクト（cve.mitre.org）により、この問題に識別子CVE-2019-5517が割り当てられています。c. VMware ESXi、Workstation、Fusionの領域外読み取りの脆弱性：VMware ESXi、Workstation、Fusionの更新プログラムは、領域外読み取りの脆弱性に対処します。この問題を悪用するには、攻撃者は3Dグラフィックが有効になっている仮想マシンにアクセスできる必要があります。この問題の悪用に成功すると、情報漏えいを引き起こされる能性があります。この問題の回避策には、3Dアクセラレーション機能を無効にする方法などがあります。ESXiではこの機能はデフォルトで有効になっておらず、WorkstationおよびFusionではデフォルトで有効になっています。VMwareは、この問題を報告してくれたTrend MicroのZero Day Initiativeに参加しているインストラクターに感謝の意を表します。Common Vulnerabilities and Exposuresプロジェクト（cve.mitre.org）により、この問題に識別子CVE-2019-5520が割り当てられています。