VMware Fusionは、macOS上でWindows、Linuxなどの別のOSを仮想マシンとして実行できる、Broadcom社が開発した強力な仮想化ソフトウェアです。
再起動することなく、macOS上でWindowsアプリをシームレスに操作でき、2024年11月以降は個人利用、商用、教育用問わず完全無償化されたため、コストをかけずにmacOSでWindows環境を構築できます。
単に別OS向けのアプリケーションを使うという用途もありますが、Web開発・検証などの場面でInternet ExplorerやEdgeを使って、異なるブラウザ環境でWebサイトを表示確認するといったようn用途でも利用できるため、広く使われています。
このVMware Fusionに、脆弱性が案内されています。
- CVE-2026-41702
これは、ローカルの特権昇格を可能にしてしまう脆弱性です。
SETUIDバイナリに関連するTOCTOU(Time-of-Check Time-of-Use)の脆弱性に起因します。
これは、システムがリソースを使用する前にチェックを行う際に発生し、攻撃者が悪用できる短い時間差が生じます。
この場合、管理者権限を持たないローカルユーザが競合状態を悪用してroot権限に昇格する可能性があります。
結果として、攻撃者はシステム上で最高権限を持つコマンドを実行できる可能性があります。
この脆弱性はローカルの特権昇格を可能にするものですので、単独の脆弱性の悪用でリモートで即座に問題になるというものではありませんが、攻撃者はフィッシング・マルウェア・盗まれた認証情報等によって既にアクセス権を取得することが考えられますので、これも見逃すことのできない問題です。
しかもローカルへのアクセス権がある状態にまで達すると、その後この脆弱性を悪用するのは難しくないため、大きな問題となると考えるべきものとなっています。
対策はいつも通り、ソフトウェアの更新で対応できます。
VMware Fusionをバージョン26H1にアップデートしましょう。
利用しているシステムの全体を常に完璧に更新された状態に保つことは容易ではありませんが、こういった部品として作用する脆弱性も多くありますので、継続的な対策活動は安全性の向上に大きな意味を持ちます。
Claude Mythosのような話もありますし、更新活動を実際に継続的に実施していく体制を確立することを急がねばなりません。
気持ちを引き締めていきましょう。
VMSA-2026-0003: VMware Fusion updates address privilege escalation vulnerability (CVE-2026-41702)
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37454
| この記事をシェア |
|
|---|
