XP Modeでも使われているVirtualPCに脆弱性が存在していてセキュリティ企業からアドバイザリが出ている模様。

企業向けセキュリティ製品を手掛ける米Core Security Technologiesは3月16日、Microsoftの仮想化ソフト「Virtual PC」に未修正の脆弱性を見つけたと発表し、この脆弱性情報を概説するアドバイザリーを公表した。
Core Securityによると、脆弱性はMicrosoftのVirtual PCパッケージに組み込まれている「Virtual PC Hypervisor」に存在する。このコンポーネントは、Windows XP向けのレガシーOSを最新OSのWindows 7で実行するための「Windows 7 XP Mode」にも使われている。
攻撃者がこれを悪用した場合、Windowsに実装されているデータ実行防止（DEP）など複数のセキュリティ強化の仕組みをかわすことが可能になり、仮想化されていないOSでは悪用できなかったアプリケーションのバグを、Virtual PCのゲストOS上で悪用できてしまう恐れがあるという。

Microsoft Virtual PCに脆弱性情報、セキュリティ企業が公開 - ITmedia エンタープライズ

MSは脆弱性じゃないと言っている模様。

Microsoftの仮想化ソフト「Virtual PC」に未修正の脆弱性があるとしてセキュリティ企業が情報を公表したことについて、MicrosoftがWindowsセキュリティブログで「これ自体は脆弱性ではない」と反論している。
米Core Security Technologiesは3月16日付でアドバイザリーを公表して「Virtual PCに未修正の脆弱性がある」と指摘。この問題を突かれるとWindowsに実装されているDEPやASLRといったセキュリティ機能がかわされ、Virtual PCのゲストOS上でアプリケーションのバグを悪用される恐れがあると解説していた。

「Virtual PCの脆弱性」にMicrosoftが反論 - ITmedia エンタープライズ

関連URL

• Microsoft Virtual PC Flaw Lets Hackers Bypass Windows Defenses | threatpost
• SecuriTeam - Microsoft Virtual PC Hypervisor Memory Protection Vulnerability
• Virtual PC Hypervisor - Memory Protection