Windowsに未対策の脆弱性、SYSTEM権限を奪取される可能性も(JVN)

2015年7月9日(木) 18時33分
このエントリーをはてなブックマークに追加
CERT/CCによる脆弱性情報の画像
CERT/CCによる脆弱性情報
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月9日、Microsoft WindowsのOpenTypeフォントのサポートを提供するカーネルモジュール「Adobe Type Manager(atmfd.dll)」にメモリ破損の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSSによる最大Base Scoreは6.8。

「Windows XP から Windows 8.1 までの 32 ビット版および 64 ビット版」には、atmfd.dllが原因でメモリ破損の脆弱性が存在する。この脆弱性が悪用されると、Windowsシステム上でSYSTEM権限を取得される可能性があり、その結果OSやWebブラウザが提供するサンドボックス機能や防御策を回避される可能性がある。また、この脆弱性を使用した攻撃コードが、Hacking Team から漏えいした情報の一部として公開されている。現時点で対策方法は公開されていない。
《吉澤 亨史》

注目ニュース

icon
ANTlabs製ゲートウェイ機器「InnGate」に複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、ANTlabsが提供する来客用ネットワーク向けのゲートウェイ機器「InnGate」にSQLインジェクションおよびXSSの脆弱性が存在すると「JVN」で発表した。

icon
医療業界向けソフト「OpenEMR」に認証回避の脆弱性(JVN)

IPAおよびJPCERT/CCは、OpenEMR Projectが提供する電子カルテなどの医療情報を管理するためのソフトウェア「OpenEMR」に認証回避の脆弱性が存在すると「JVN」で発表した。

icon
PHPライブラリ「namshi/jose」にトークンの署名検証回避の脆弱性(JVN)

IPAおよびJPCERT/CCは、Namshiが提供する、JSON Web Token(JWT)を扱うための PHP ライブラリ「namshi/jose」にトークンの署名検証回避の脆弱性が存在すると「JVN」で発表した。

icon
Webアプリフレームワーク「Symfony」にコードインジェクションの脆弱性(JVN)

IPAおよびJPCERT/CCは、SensioLabsが提供する、オープンソースのWebアプリケーションフレームワーク「Symfony」にコードインジェクションの脆弱性が存在すると「JVN」で発表した。

icon
「ProctorCache」に、管理タスクを実行される脆弱性(JVN)

IPAおよびJPCERT/CCは、Pearson Education社が提供する、試験や受験者の管理を行うソフトウェア「ProctorCache」にハードコードされたパスワードを使用する脆弱性が存在すると「JVN」で発表した。

RSS

特集・連載

ピックアップフォト