ニュース
Windowsに未解決の脆弱性報告、任意のコード実行の恐れ
脆弱性はVCardファイル(VCF)の処理に起因する。悪用されれば、リモートの攻撃者に任意のコードを実行される恐れがある。
米MicrosoftのWindowsに未解決の脆弱性が報告され、セキュリティ企業Trend Micro傘下のZero Day Initiative(ZDI)と発見者が1月13日付で情報を公開した。
それによると、今回見つかった脆弱性は、連絡先情報の保存や交換に使われるVCardファイル(VCF)の処理に起因する。VCardファイルに細工を施したデータを仕込んで、Windowsで危険なハイパーリンクを表示させることが可能とされ、リモートの攻撃者がこの問題を突いて任意のコードを実行できてしまう恐れがある。
ただし、悪用するためには標的とする相手に不正なページを見させたり、不正なファイルを開かせたりする必要がある。
ZDIでは2018年8月にこの問題をMicrosoftに報告し、同社も報告の内容を確認して、当初は2019年1月8日の月例セキュリティ更新プログラムで対応すると説明していた。しかしその後、この問題の修正はWindowsの次期バージョンに持ち越すという連絡があったことから、ZDIと研究者が情報の公開に踏み切った。
危険度は、共通脆弱性評価システム(CVSS)で「7.8」(最高値は10.0)と評価している。
この問題を発見した研究者のジョン・ペイジ氏は、自身のWebサイトでコンセプト実証コードを公開した。
関連記事
- Windows 7のサポート終了まであと1年、今こそ移行に着手を
Windows 7の延長サポートは2020年1月14日で終了する。以後はたとえ脆弱性が発覚しても、修正のための更新プログラムは提供されない。 - Microsoft、月例更新プログラム公開 WindowsやEdgeに深刻な脆弱性
1月の月例更新プログラムでは49件の脆弱性が修正された。このうち7件が「緊急」に分類されている。 - Microsoft、IEの臨時更新プログラムを公開 攻撃の発生を確認
IEの未解決の脆弱性を突く攻撃が確認され、Microsoftが臨時更新プログラムで対処した。 - Windows 10に未解決の脆弱性、任意のファイルが削除される恐れ
この問題を悪用すれば、攻撃者が任意のファイルを削除できてしまう恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.