WindowsのMFC42/MFC71ライブラリにバッファオーバーフローの脆弱性が見つかった。
WindowsのMFC(Microsoft Foundation Class)ライブラリにゼロデイの脆弱性が見つかり、9月18日、セキュリティ各社がアラートを公開した。
US-CERTによると、脆弱性はMFC42/MFC71ライブラリの「FindFile」機能でユーザーの入力情報を適切に認証できないことに起因する。この問題を悪用されると、過度に長い引数をFindFile機能に引き渡すことにより、バッファオーバーフローが誘発され、任意のコードを実行されてしまう恐れがある。
問題のライブラリを使い、APIに引き渡される引数をユーザーが処理できるようにしているアプリケーションは、いずれも影響を受ける恐れがある。
影響を受けるOSはWindows XP SP2で、Microsoftの公式パッチはまだリリースされていない。深刻度は、仏FrSIRTが4段階評価で下から2番目の「Moderate Risk」、Secuniaは5段階評価で中程度の「Moderately critical」となっている。
Copyright © ITmedia, Inc. All Rights Reserved.