メモ

仮想化ソフトウェア・ベンダーの米国VMwareは、同社の「Workstation」、「Player」、「Fusion」、「ESXi」、「ESX」の2件の脆弱性に対処するセキュリティ・アップデートとパッチを公開した。2件の脆弱性はそれぞれ、攻撃者がホスト・システムを不正に操作することや、仮想マシンをクラッシュさせることを可能にするおそれがある。
より重大な前者の脆弱性は、「CVE-2012-3288」として識別されている。この脆弱性は、仮想マシン・チェックポイント・ファイルのロード時における入力データの不適切な検証に起因すると、VMwareは6月14日に公開したセキュリティ・アドバイザリで述べている。
攻撃者が、特殊に作成されたチェックポイント・ファイルをロードし、この検証エラーを悪用することで、メモリ破損を引き起こし、ホスト・システム上で任意のコードを実行するおそれがある。
VMwareは、セキュリティ・アップデートであるWorkstation 8.0.4、Player 4.0.4、Fusion 4.1.3、およびESXi、ESX向けのセキュリティ・パッチをリリースし、顧客にこれらをインストールするよう勧めている。また、信頼できない入手元から仮想マシンをインポートしないよう呼びかけている。

http://www.computerworld.jp/topics/563/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%BB%E3%83%9E%E3%83%8D%E3%82%B8%E3%83%A1%E3%83%B3%E3%83%88/203555/%E3%83%B4%E3%82%A4%E3%82%A8%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%80%81%E5%90%84%E7%A8%AE%E4%BB%AE%E6%83%B3%E5%8C%96%E8%A3%BD%E5%93%81%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%BB%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%81%A8%E3%83%91%E3%83%83%E3%83%81%E3%82%92%E5%85%AC%E9%96%8B