報道によれば、企業向けセキュリティ製品を手掛ける米Core Security Technologiesは3月16日、「Microsoftの仮想化ソフト Virtual PC に未修正の脆弱性を見つけた。」と発表し、この脆弱性情報を概説するアドバイザリーを公表した。



Core Securityによると、脆弱性はMicrosoftのVirtual PCパッケージに組み込まれている「Virtual PC Hypervisor」に存在する。


このコンポーネントは、Windows XP向けのレガシーOSを最新OSのWindows 7で実行するための「Windows 7 XP Mode」にも使われている。


攻撃者がこれを悪用した場合、「Windowsに実装されているデータ実行防止(DEP)など複数のセキュリティ強化の仕組みをかわすことが可能になり、仮想化されていないOSでは悪用できなかったアプリケーションのバグを、Virtual PCのゲストOS上で悪用できてしまう恐れがある。」という。


特に、「Windows 7の Windows XP Mode でアプリケーションを実行すると、Windows XP SP3上では悪用できなかったバグが脆弱性になり、仮想環境で悪用できてしまう可能性がある。」としている。


この脆弱性の影響を受けるのは、Microsoft Virtual PC 2007Microsoft Virtual PC 2007 SP1Windows Virtual PCMicrosoft Virtual Server 2005の各製品と、Windows 7の「XP Mode」機能だ。


一方、「Microsoft Hyper-V技術は影響を受けない。」とのことだ。


Core Securityは2009年8月に、この問題をMicrosoftに通報し、Microsoftは各製品のアップデートで対処する意向を示したという。