MicrosoftのHTML Helpに脆弱性報告

MicrosoftのHTML Help Workshopで、リモートからのシステム制御につながる未パッチの脆弱性が報告された。実証コードも公開されているという。

[ITmedia]

　MicrosoftのHTML Help Workshopで、リモートからのシステム制御につながる未パッチの脆弱性が報告されたとして、Secuniaが2月6日、アドバイザリーを公開した。深刻度は「中程度」となっている。

　Secuniaのアドバイザリーによると、この脆弱性はHTML Help Workshopのバージョン4.74.8702.0で確認され、ほかのバージョンも影響を受ける恐れがある。

　「Contents file」領域で過度に長い文字列を含んだ「.hhp」ファイルの処理に関する境界エラーが存在し、悪質な.hhpファイルが開かれるとスタックベースのバッファオーバーフローを誘発され、任意のコードを実行されてしまう恐れがある。

　実証コードも公開されているといい、Secuniaでは信頼できない.hhpファイルは開かないよう勧告している。