米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は8月23日(米国時間)、「VMware Releases Security Update|CISA」において、VMware Toolsに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

VMSA-2022-0024 - VMware Tools update addresses a local privilege escalation vulnerability (CVE-2022-31676)

VMSA-2022-0024 - VMware Tools update addresses a local privilege escalation vulnerability (CVE-2022-31676)

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

VMware Tools 12.x.y (Windows版)

VMware Tools 11.x.y (Windows版)

VMware Tools 12.x.y (Linux版)

VMware Tools 11.x.y (Linux版)

VMware Tools 10.x.y (Linux版)

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

VMware Tools 12.1.0 (Windows版)

VMware Tools 12.1.0 (Linux版)

VMware Tools 10.3.25 (Linux版)

脆弱性は深刻度が重要(Important)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。