Windows 10に画像ファイルを開くだけでコード実行が可能になる脆弱性が2件

“CVE-2020-1425”に関するセキュリティアドバイザリ

　米Microsoftは6月30日（現地時間）、「Windows 10」に含まれているコーデックライブラリに2件の脆弱性（CVE-2020-1425、CVE-2020-1457）が存在することを明らかにした。

　これらの脆弱性は、トレンドマイクロのセキュリティチーム“Zero Day Initiative”（ZDI）に所属するセキュリティ研究者Abdul-Aziz Hariri氏によって報告された。それによると、「Windows 10」に含まれているコーデックライブラリにはオブジェクトを処理する方法に問題があり、特別な細工が施された画像ファイルを開くだけでリモートから任意のコードが実行可能になるという。深刻度の評価は“CVE-2020-1425”が“Critical”、“CVE-2020-1457”が“Important”。

　脆弱性の影響を受けるOSのバージョンは、以下の通り。Microsoftによると、これらの脆弱性を悪用した攻撃は確認されていないとのこと。悪用の可能性も低いとみられている。

• Windows 10 Version 2004
• Windows 10 Version 1909
• Windows 10 Version 1903
• Windows 10 Version 1809
• Windows 10 Version 1803
• Windows 10 Version 1709
• Windows Server 2019
• Windows Server, version 2004
• Windows Server, version 1909
• Windows Server, version 1903
• Windows Server, version 1803

　なお、修正プログラムの配信と適用は“Windows Update”経由ではなく、“Microsoft Store”を介して行われる。自動更新が有効であれば、ユーザー側で行わなければならないアクションはとくにない。

　どのコーデックライブラリに問題があったのかは明らかにされていないが、最近「HEIF 画像拡張機能」にアップデートがあったことが確認されており、このパッケージに問題があった可能性がある。

修正プログラムの配信と適用は“Microsoft Store”経由。自動更新が有効であれば、ユーザー側で行わなければならないアクションはとくにない