Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

日本語などテキスト処理に脆弱性、Win XP以降に存在 - 報告者が詳細公表

米時間8月13日にマイクロソフトが月例セキュリティ更新で修正したWindowsの脆弱性「CVE-2019-1162」に関して、詳細が公表されている。今後悪用が発生するおそれもあり注意が必要だ。

脆弱性を発見したGoogle Project Zeroのセキュリティ研究者であるTavis Ormandy氏によれば、脆弱性は「CTextFramework(CTF)」におけるテキスト処理に起因するもの。

同脆弱性は「Windows 10」を含む「Windows XP」以降に存在し、特に日本語や中国語、韓国語などIMEを利用する環境に影響がある。ローカル環境で悪用する必要があるが、権限の昇格が生じてコードを実行されるおそれがあるという。

同氏は5月16日にマイクロソフトへ報告。事前にソースコードや技術文書を提供するなど対応を進めてきたが、8月の月例パッチリリース日にちょうど90日が経過。脆弱性の詳細とともに、今回の脆弱性を調べるために用られた調査ツール「ctftool」などもGitHubを通じて公開している。

マイクロソフトでは脆弱性の悪用について「可能性は低い」とレーティングしているが、詳細が明らかにされており、今後注意が必要だ。こうした状況を受け、米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も、同脆弱性ついて注意を呼びかけている。

(Security NEXT - 2019/08/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

米当局、Qualcomm製チップやApple製品の脆弱性狙う攻撃に注意喚起
「Adobe ColdFusion」の脆弱性、米行政機関で2件の侵害被害
WordPress用フォーム作成プラグインに脆弱性 - 早急に更新を
「楽々Document Plus」に脆弱性に脆弱性 - 修正パッチがリリース
プロキシサーバ「Squid」にサービス拒否の脆弱性
BIツール「Apache Superset」に脆弱性 - アップデートで修正
米当局、悪用リストから脆弱性1件を除外 - PoC機能せず、CVEは廃番
「macOS Sonoma 14.1.2」を公開、脆弱性を修正 - 旧OSには「Safari」のアップデート
Apple、「iOS 17.1.2」を公開 - ゼロデイ脆弱性2件に対応
脅威情報共有プラットフォーム「MISP」に脆弱性 - 最新版へ更新を