Microsoftの「hcsshim」に深刻な脆弱性、臨時更新プログラムで対処
攻撃者が不正なコードを仕込んだコンテナイメージを管理者がインポートすると、Windowsホスト上で悪質なコードが実行される恐れがある。
» 2018年05月07日 09時00分 公開
[鈴木聖子,ITmedia]
WindowsでDockerコンテナイメージのインポートに使われるライブラリに深刻な脆弱性が見つかり、米Microsoftが5月2日、定例外のセキュリティ更新プログラムを公開して対処した。
Microsoftのセキュリティ情報によると、脆弱性はWindows Host Compute Service Shim(hcsshim)ライブラリに存在する。コンテナイメージをインポートする際の入力チェックに問題があり、攻撃者が不正なコードを仕込んだコンテナイメージを管理者がインポートすると、Windowsホスト上で悪質なコードが実行される恐れがある。
最大深刻度は同社の4段階評価で最も高い「緊急」に指定している。事前に情報は公開されておらず、2018年5月2日の時点で悪用も確認されていないという。
関連記事
「Docker」採用のホスティングサービス、さくらインターネットが提供開始
さくらインターネットは、コンテナ型仮想化技術「Docker」を利用したホスティングサービス「Arukas」の提供を開始した。一部のプランは無料で利用可能。
第47回 Dockerのプライベートレジストリを活用する(運用編)
Dockerプライベートレジストリが構築できたら、実際にプライベートレジストリを使って、Dockerイメージの登録、入手などを行ってみましょう。プライベートレジストリは、閉じたネットワーク環境でのDockerハブのようなDockerイメージ管理が可能になります。
もはやOSは収益源ではない Microsoftが目指す「脱」OSとは
「何が何でもWindows」から「できればWindowsも」という姿勢に転じたともいえそうです。
Microsoftが月例セキュリティ更新プログラム公開、60件以上の脆弱性に対処
IEやWindowsの脆弱性など24件が、最大深刻度の「緊急」に指定されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
SpecialPR
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースが“まさかの回答” AIエージェント、「いくらが適正価格か」問題が勃発
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
あなたにおすすめの記事PR
ITmediaはアイティメディア株式会社の登録商標です。