WindowsのMFC(Microsoft Foundation Class)ライブラリにゼロデイの脆弱性が見つかり、9月18日、セキュリティ各社がアラートを公開した。
US-CERTによると、脆弱性はMFC42/MFC71ライブラリの「FindFile」機能でユーザーの入力情報を適切に認証できないことに起因する。この問題を悪用されると、過度に長い引数をFindFile機能に引き渡すことにより、バッファオーバーフローが誘発され、任意のコードを実行されてしまう恐れがある。
問題のライブラリを使い、APIに引き渡される引数をユーザーが処理できるようにしているアプリケーションは、いずれも影響を受ける恐れがある。
影響を受けるOSはWindows XP SP2で、Microsoftの公式パッチはまだリリースされていない。深刻度は、仏FrSIRTが4段階評価で下から2番目の「Moderate Risk」、Secuniaは5段階評価で中程度の「Moderately critical」となっている。
関連記事
- MS月例パッチ、深刻なMSN Messengerの脆弱性などに対処
緊急レベルはMicrosoftエージェントの脆弱性に対処した1件のみだが、セキュリティ各社はMSN Messengerのパッチも緊急性が高いと指摘している。 - MSN Messengerに脆弱性、最新バージョンにアップデートを
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.