Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

テキストエディタ「vim」に深刻な脆弱性 - パッチがリリース

広く利用されているテキストエディア「vim」に深刻な脆弱性が明らかとなった。パッチが提供されている。

解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2022-2042」が明らかとなったもの。ファジングにより発見されたもので、脆弱性報告サイト「huntr」を通じて開発者に報告された。

発見者の説明では、脆弱性を悪用されると、リモートよりコードを実行されるおそれがあるほか、メモリの改変、防御機能のバイパス、サービス拒否などが生じるおそれがある。「実証コード(PoC)」も公開されている。

共通脆弱性評価システム「CVSSv3」のベーススコアは、「huntr」において「7.4」とされているが、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、CVSS基本値を「9.8」とし、「クリティカル(Critical)」とレーティングしている。

開発チームは「同8.2.5072」にて脆弱性へ対応した。「vim」に関しては、ヒープバッファオーバーフローの脆弱性「CVE-2022-0318」の脆弱性が2月に明らかとなり、「同8.2.4151」にて修正されている。

(Security NEXT - 2022/06/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

研修会の案内メールで送信ミス - 神奈川県理学療法士会
提供した資料のマスキング部分が閲覧可能に - 東京都
公文書680件を誤廃棄、大半は審査会意見聴取前に - 三重県
6月のフィッシングサイト、過去最多を大幅更新 - 同一IPアドレス上で多数稼働
フィッシングURLが約1.7倍、過去最多更新 - 同一IPアドレス上に大量の偽サイト
4割弱の中小企業、改正個情法の内容「知らない」 - 4社に3社は漏洩報告義務把握せず
国内外データ保護規制に対応する実務者向けの資格認定制度を開始 - 日本DPO協会
サイバー攻撃で複数システムが停止、バックアップで復旧- 岐阜の病院
セキュリティ診断サービスでレッドチーム演習を提供 - GMO-CS
ボランティア宛のメールで送信ミス - 大阪歴史博物館