ニュース

リモートデスクトップ接続アプリ「AnyDesk」に未修正の脆弱性2件、ZDIがゼロデイ公表

ローカルからのDoS攻撃につながるおそれ

「AnyDesk」に未修正の脆弱性2件

 Trend Microのセキュリティチーム「Zero Day Initiative」(ZDI)は7月8日(米国時間)、リモートデスクトップ操作ソフト「AnyDesk」に脆弱性が2件あるとしてセキュリティアドバイザリを公表した。いずれも修正パッチは提供されておらず、いわゆるゼロデイ(0-day)アドバイザリとなっている。

 2件の内容は、いずれもローカルの攻撃者がシステムをサービス拒否(DoS)状態に陥らせることができるというもの。深刻度の評価は「CVSS」の基本値で「4.7」、CVE番号は割り当てられていない。

  • ZDI-26-400:画面録画ファイルの取り扱いに不備。ジャンクションを作成することで、攻撃者はサービスを悪用して任意のファイルを作成できる
  • ZDI-26-401:サポート情報の送信(Send Support Information)機能の欠陥。ジャンクションを作成することで、攻撃者はサービスを悪用して任意のファイルを作成できる

 ZDIによると、この問題は2025年3月にベンダーへ報告されたが、返答がなかったとのこと。同年9月になってベンダーのサポートチームからセキュリティチームへ引き継がれたことが確認されたが、同年12月に『この問題は自分たちの対応範囲外』との回答があり、対応が進まなかった。そのため、今回の公表に踏み切ったという。

 おそらく、あらかじめターゲットシステム上で低特権コードを実行できる状態でないと悪用できない点が軽視されたと思われるが、他の脆弱性と組み合わせることでより大きな問題を引き起こしかねない。

 ZDIは、現時点で有効な緩和策は『製品との接触を制限すること』のみとしており、利用の際は注意を要する。

 「AnyDesk」は、ドイツ製の手軽なリモートデスクトップ操作ソフト。個人利用であれば無料で、現在、公式サイトや窓の杜ライブラリから無償でダウンロードできる。

ソフトウェア情報

「AnyDesk」
【著作権者】
AnyDesk Software GmbH
【対応OS】
Windows XP/7/8.1/10/11
【ソフト種別】
フリーソフト(個人利用のみ無料)
【バージョン】
9.7.9(26/07/06)