Windowsにゼロデイ脆弱性 ～保護されているファイルを攻撃者によって読み取られる恐れ

“JVN”の脆弱性情報ページ

　脆弱性ポータルサイト“JVN”は12月21日、Windowsに搭載されている“MsiAdvertiseProduct”機能に権限昇格の脆弱性が存在することを明らかにした。すでに悪用コードが公開されているが、対策方法は不明とのこと。

　“JVN”が公開した脆弱性レポート（JVNVU#92357871）によると、製品をアドバタイズするスクリプトを生成し、アプリケーションのショートカットやレジストリ情報を操作する機能をWindows向け製品のインストーラーに付与する“MsiAdvertiseProduct”機能に脆弱性が存在するという。本脆弱性により、Windowsのアクセス制御リスト（Access Control List、ACL）で保護されている任意のファイルを、攻撃者によって読み取られる可能性があるという。

　共通脆弱性評価システム“CVSS v3”における基本値は5.5。