ニュース

Windowsにゼロデイ脆弱性 ~保護されているファイルを攻撃者によって読み取られる恐れ

“MsiAdvertiseProduct”機能に権限昇格の脆弱性

“JVN”の脆弱性情報ページ

 脆弱性ポータルサイト“JVN”は12月21日、Windowsに搭載されている“MsiAdvertiseProduct”機能に権限昇格の脆弱性が存在することを明らかにした。すでに悪用コードが公開されているが、対策方法は不明とのこと。

 “JVN”が公開した脆弱性レポート(JVNVU#92357871)によると、製品をアドバタイズするスクリプトを生成し、アプリケーションのショートカットやレジストリ情報を操作する機能をWindows向け製品のインストーラーに付与する“MsiAdvertiseProduct”機能に脆弱性が存在するという。本脆弱性により、Windowsのアクセス制御リスト(Access Control List、ACL)で保護されている任意のファイルを、攻撃者によって読み取られる可能性があるという。

 共通脆弱性評価システム“CVSS v3”における基本値は5.5。