Windows標準の日本語入力システム「Microsoft IME」に脆弱性 ～JVNが明らかに

“JVN”の脆弱性レポート（JVN#21627267）

　脆弱性対策情報ポータルサイト“JVN”は7日、Windowsに同梱されている日本語入力システム「Microsoft IME」に脆弱性（CVE-2016-7221）が存在することを明らかにした。

　“JVN”の脆弱性レポート（JVN#21627267）によると、「Windows Defender」などのアプリケーションを起動する際、「Microsoft IME」が有効化されるタイミングで、特定のレジストリキーに登録されたDLLファイルが実行されてしまうという。このレジストリキーは初期設定では存在しないが、一般ユーザーの権限で作成が可能であるという。最悪の場合、「Microsoft IME」を有効化するアプリケーションを起動すると任意のコードを実行される恐れがある。脆弱性の深刻度は評価は、“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“5.1”。

　なお、本脆弱性は2016年11月8日にリリースされた“MS16-130”で修正されているとのこと。毎月第2火曜日（日本時間で水曜日）に“Windows Update”で配信される月例アップデートには、こうした脆弱性の修正が多数含まれているため、かならず適用することをお勧めする。