IBMとLenovoのアクセスサポートソフトに脆弱性

IBMとLenovoはAccess Supportソフトの脆弱性を修正。Microsoftのパッチでも対処された。

[ITmedia]

　IBMとLenovoのシステムに搭載されているAccess Supportソフトに複数の脆弱性が報告された。

　仏FrSIRTやSecuniaが8月15日に公開したアドバイザリーによると、IBM Access SupportのacpRunner（AcpController.dll）ActiveXコントロールに、署名が適切に認証されないなど少なくとも3件の脆弱性が存在する。

　この問題を悪用されると、攻撃者がユーザーをだまして細工を施したWebサイトを閲覧させ、任意のコードを実行することが可能になる。危険度評価はFrSIRTが4段階で最も高い「Critical」、Secuniaが5段階で上から2番目の「Highly critical」となっている。

　Lenovoはこの問題を修正するパッチをリリース済み。また、US-CERTによると、Microsoftが14日に公開した月例セキュリティ更新プログラム「MS07-045」でも、キルビットを使って問題のコントロールが無効にされているという。