Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Windows 7」のライブラリに不正ファイル読込問題 - 修正予定なし

「Windows 7」に含まれるライブラリに、ディレクトリ内の不正なライブラリファイルを読み込む脆弱性が指摘されている。マイクロソフトはリスクが低いとし、修正しない方針を示している。

従来より検索パスの問題で不正なライブラリファイルを読み込む脆弱性がアプリケーションをはじめ多く指摘されているが、「Windows 7」のライブラリファイルにおいても同様の問題が明らかとなったもの。

同一フォルダ内に設置された不正なライブラリを読み込むおそれがある脆弱性「CVE-2019-5921」が存在。悪用されると任意のコードなどを実行されるおそれがある。

共通脆弱性評価システムの「CVSS v3」におけるスコアは「7.8」で、4段階中2番目にあたる「重要」。「CVSS v2」の場合は「6.8」で3段階中2番目にあたる「警告」とレーティングされている。

一方マイクロソフトでは、問題のディレクトリについてアクセスには管理者権限が必要であることを理由に、リスクが低い問題として対処しない方針を示している。

脆弱性の判明を受けて、セキュリティ機関では、対策として「Windows 10」への移行や、緩和策などの実施を呼びかけている。

(Security NEXT - 2019/02/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

PHPテンプレートエンジン「Twig」に脆弱性 - 「Drupal」にも影響
Symantecの特権アクセス管理に権限昇格の脆弱性 - アップデートの適用を
Google、「Chrome 104」をリリース - セキュリティに関する27件の修正を実施
「Firefox 97」がリリース - 脆弱性12件を修正
オンライン会議「Zoom」に複数の脆弱性 - 主催者許可なく参加可能に
MSDTのゼロデイ脆弱性、悪用拡大中 - 「QBot」の拡散にも
Google、脆弱性を解消した「Chrome 102.0.5005.115」をリリース
Google、最新ブラウザ「Chrome 102」をリリース - 深刻な脆弱性を修正
トレンド製「スマートホームスキャナー」のインストーラに脆弱性 - 最新版の利用を
Lenovo製ノートPCのBIOSに複数脆弱性 - 100モデル以上に影響