NEWS(11/12/12 15:15)

CD/DVDライティングソフト「Power2Go 8」に未修正のゼロデイ脆弱性

プロジェクトファイルを開いた際に任意のコードを実行される可能性

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)および独立行政法人情報処理推進機構(IPA)は12日、サイバーリンク製のBlu-ray Disc対応CD/DVDライティングソフト「Power2Go 8」とそれ以前の“Power2Go”シリーズに未修正の脆弱性が存在することを、両社が運営するWebサイト“Japan Vulnerability Notes”(以下、JVN)で公表した。

 同脆弱性の詳細は、プロジェクトファイルを解析する際にバッファオーバーフローが発生し、プログラムを実行しているユーザーの権限で任意のコードを実行される可能性があるというもの。JVNによると、すでに同脆弱性利用した攻撃コードが公開されているという。

“DEP”を有効にすることでも脆弱性の影響を軽減できる“DEP”を有効にすることでも脆弱性の影響を軽減できる

 また、JVNによると現時点では同脆弱性の回避方法は存在しないが、Microsoft製のセキュリティツール「Enhanced Mitigation Experience Toolkit」を利用したり、Windowsのセキュリティ機能“Data Execution Prevention(DEP)”を有効にすることで、脆弱性の影響を軽減できるとのこと。

(長谷川 正太郎)