デンマークSecuniaなどは現地時間12月21日,仮想マシン・ソフト「VMware Workstation」などにセキュリティ・ホールが見つかったことを明らかにした。ゲストOS上で特定の操作をされるとバッファ・オーバーフローが発生し,ホストOS上で任意のプログラムを実行される恐れがある。NAT機能を有効にしている場合のみ影響を受ける。対策はVMwareのアップデートやNATの無効化。米SANS Instituteでは,ゲストOS上でマルウエア(悪質なプログラム)の解析などをしているユーザーはすぐに対策を施すよう勧めている。
影響を受けるVMware製品は以下のとおり。
- VMware Workstation 5.5 およびそれ以前
- VMware GSX Server 3.2 およびそれ以前
- VMware ACE 1.0.1 およびそれ以前
- VMware Player 1.0 およびそれ以前
今回のセキュリティ・ホールは,VMware Workstationなどに含まれる「vmnat.exe」および「vmnet-natd」が原因。これらのプログラムは,ある特定のFTPリクエスト(eprtおよびport)を適切に取り扱えない場合がある。
細工が施されたeprtあるいはportリクエストをゲストOS上で実行されるとバッファ・オーバーフローが発生して,これらのプログラムが不正終了したり,任意のプログラムを実行されたりする恐れがある。ただし,NAT機能を有効にしている場合のみ影響を受ける。
対策は,セキュリティ・ホールを修正したVMwareにアップデートすること。米VMwareのダウンロード・サイトから修正版を入手できる。修正版は12月20日に公開された。NAT機能を無効にすることでも影響を回避できる。無効にする方法は,VMwareのサイトに詳しい。
今回のセキュリティ・ホールを突くには,ゲストOS上で特定の操作をおこなう必要がある。このため,通常のユーザーにとってはそれほど危険ではない。問題は,ゲストOS上でマルウエアの実験や解析をおこなっている場合である。セキュリティ・ホールを突くようなマルウエアを実行してしまう可能性があるからだ。
このためSANS Instituteでは,マルウエアの解析やWebブラウジングなどのために,ゲストOSを“孤立”した環境(ホストOSに影響を与えない環境)として利用しているユーザーは,すぐにVMwareのアップデートあるいはNATの無効化をおこなうよう強く勧めている。
◎参考資料
◆VMware NAT Networking Buffer Overflow Vulnerability(デンマークSecunia)
◆Security Response to Vulnerability in NAT Networking(米VMware)
◆VMware Download Center(米VMware)
◆Disabling the VMware NAT Service on the Host Computer(米VMware)
◆VMWare vulnerability announced and fixed(米SANS Institute)
◆VMWare Remote Arbitrary Code Execution Vulnerability(Bugtraq)
◆ACS Security Assessment Advisory - Remote Heap Overflow(Full-disclosure)