ホーム > mixiニュース > IT・インターネット > IT総合 > Windowsに未解決の脆弱性報告、任意のコード実行の恐れ

Windowsに未解決の脆弱性報告、任意のコード実行の恐れ

0

2019年01月16日 10:43  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真情報を公開したZDIのページ
情報を公開したZDIのページ

 米MicrosoftのWindowsに未解決の脆弱性が報告され、セキュリティ企業Trend Micro傘下のZero Day Initiative(ZDI)と発見者が1月13日付で情報を公開した。



【その他の画像】



 それによると、今回見つかった脆弱性は、連絡先情報の保存や交換に使われるVCardファイル(VCF)の処理に起因する。VCardファイルに細工を施したデータを仕込んで、Windowsで危険なハイパーリンクを表示させることが可能とされ、リモートの攻撃者がこの問題を突いて任意のコードを実行できてしまう恐れがある。



 ただし、悪用するためには標的とする相手に不正なページを見させたり、不正なファイルを開かせたりする必要がある。



 ZDIでは2018年8月にこの問題をMicrosoftに報告し、同社も報告の内容を確認して、当初は2019年1月8日の月例セキュリティ更新プログラムで対応すると説明していた。しかしその後、この問題の修正はWindowsの次期バージョンに持ち越すという連絡があったことから、ZDIと研究者が情報の公開に踏み切った。



 危険度は、共通脆弱性評価システム(CVSS)で「7.8」(最高値は10.0)と評価している。



 この問題を発見した研究者のジョン・ペイジ氏は、自身のWebサイトでコンセプト実証コードを公開した。


    あなたにおすすめ

    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定