Windowsに未解決の脆弱性報告、任意のコード実行の恐れ

脆弱性はVCardファイル(VCF)の処理に起因する。悪用されれば、リモートの攻撃者に任意のコードを実行される恐れがある。

» 2019年01月16日 10時25分 公開
[鈴木聖子ITmedia]

 米MicrosoftのWindowsに未解決の脆弱性が報告され、セキュリティ企業Trend Micro傘下のZero Day Initiative(ZDI)と発見者が1月13日付で情報を公開した。

 それによると、今回見つかった脆弱性は、連絡先情報の保存や交換に使われるVCardファイル(VCF)の処理に起因する。VCardファイルに細工を施したデータを仕込んで、Windowsで危険なハイパーリンクを表示させることが可能とされ、リモートの攻撃者がこの問題を突いて任意のコードを実行できてしまう恐れがある。

photo 情報を公開したZDIのページ

 ただし、悪用するためには標的とする相手に不正なページを見させたり、不正なファイルを開かせたりする必要がある。

 ZDIでは2018年8月にこの問題をMicrosoftに報告し、同社も報告の内容を確認して、当初は2019年1月8日の月例セキュリティ更新プログラムで対応すると説明していた。しかしその後、この問題の修正はWindowsの次期バージョンに持ち越すという連絡があったことから、ZDIと研究者が情報の公開に踏み切った。

 危険度は、共通脆弱性評価システム(CVSS)で「7.8」(最高値は10.0)と評価している。

 この問題を発見した研究者のジョン・ペイジ氏は、自身のWebサイトでコンセプト実証コードを公開した。

関連キーワード

脆弱性 | Windows | Microsoft | セキュリティ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ