Broadcomは木曜日、高リスク脆弱性をパッチするVMware Fusionのアップデートをリリースしたことを発表しました。
CVE-2026-41702として追跡されるこの欠陥はベンダーによって「重要」と評価され、Mathieu Farrellによって報告されました。
アドバイザリーはCVE-2026-41702をTime-of-Check Time-of-Use (TOCTOU)欠陥として説明しており、「SETUIDバイナリによって実行される操作中に発生する」とされています。
「ローカルの非管理者ユーザー権限を持つ悪意のあるアクターがこの脆弱性を悪用して、Fusionがインストールされているシステム上で権限をrootに昇格させる可能性があります。」とアドバイザリーは説明しています。
VMwareは今後数日内に複数のパッチを発表する可能性があります。同社の製品が今週のPwn2Ownハッキング大会の対象となるためです。VMwareの所有者であるBroadcomはセキュリティチームのメンバーをイベントに派遣しており、参加者は最大$200,000を獲得できるESXエクスプロイトを実証することが期待されています。
近年、Pwn2Ownの参加者に多くの報奨金をもたらしてきたVMware Workstationは、対象のリストから削除されました。
日刊ブリーフィング ニュースレター
SecurityWeek Email Briefingに購読して、最新の脅威、トレンド、テクノロジー、および業界の専門家による洞察に満ちたコラムについて常に情報を得てください。
組織はサードパーティリスク管理に多大な投資を行っていますが、侵害、遅延、および見落としが引き続き発生しています。このライブウェビナーに参加して、組織がサードパーティリスク管理プログラムがどのように機能していると思っているのか、実際に何が起きているのかのギャップを調べてください。
攻撃面を削減し、パッチ管理を改善し、事後の法医学調査を実施し、現代の組織で必要なツールとテクニックに関する大規模な戦略を深く掘り下げてください。
翻訳元: https://www.securityweek.com/high-severity-vulnerability-patched-in-vmware-fusion/
