ニュース
Windows標準の日本語入力システム「Microsoft IME」に脆弱性 ~JVNが明らかに
2016年11月8日にリリースされた月例アップデートで修正済み。毎月の適用を忘れずに
2017年7月10日 08:17
脆弱性対策情報ポータルサイト“JVN”は7日、Windowsに同梱されている日本語入力システム「Microsoft IME」に脆弱性(CVE-2016-7221)が存在することを明らかにした。
“JVN”の脆弱性レポート(JVN#21627267)によると、「Windows Defender」などのアプリケーションを起動する際、「Microsoft IME」が有効化されるタイミングで、特定のレジストリキーに登録されたDLLファイルが実行されてしまうという。このレジストリキーは初期設定では存在しないが、一般ユーザーの権限で作成が可能であるという。最悪の場合、「Microsoft IME」を有効化するアプリケーションを起動すると任意のコードを実行される恐れがある。脆弱性の深刻度は評価は、“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“5.1”。
なお、本脆弱性は2016年11月8日にリリースされた“MS16-130”で修正されているとのこと。毎月第2火曜日(日本時間で水曜日)に“Windows Update”で配信される月例アップデートには、こうした脆弱性の修正が多数含まれているため、かならず適用することをお勧めする。