ニュース

1年前公表された「Microsoft Teams」インストーラーの脆弱性がようやく修正 ~JVNが発表

セットアップの際は最新のインストーラーを利用しよう

脆弱性レポート(JVN#79543573)

 脆弱性対策情報ポータルサイト“JVN”は4月1日、脆弱性レポート(JVN#79543573)をアップデートした。昨年2月に発表された「Microsoft Teams」インストーラーの脆弱性がv1.3.00.362で修正されたという。

 v1.3.00.362より前のバージョンの「Microsoft Teams」には、インストーラーがDLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを意図せず読み込んでしまう問題(CWE-427)がある。最悪の場合、インストーラーを実行している権限で任意のコードが実行されてしまうという。脆弱性の深刻度は“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“6.8”。

 Microsoftは当初、この脆弱性を悪用するには一定のソーシャルエンジニアリング(ハッキング以外のより直接的な手法で攻撃に必要な情報を盗み出す行為)が必要で、かつ本件が本質的には仕様に基づく動作であるとして修正しないとしていたが、ようやく対応がなされた格好だ。

 なお、本脆弱性の影響を受けるのはインストールのときのみで、すでに利用している場合は対応の必要はない。セットアップする際は、公式サイトから入手した最新版インストーラーを利用すること、新規フォルダーに保存して他の無関係なファイルが存在しない状態でインストーラーを実行することをお勧めする。