headless 曰く、
Microsoft が 11 月のセキュリティアップデートで、Windows 10 Update Assistant の特権昇格の脆弱性 2 件 (CVE-2021-43211 / CVE-2021-42297) を修正している (リリースノート、セキュリティ更新プログラムガイド: CVE-2021-43211 / CVE-2021-42297)。
2 件の脆弱性は Trend Micro Zero Day Initiative (ZDI) の Abdelhamid Naceri 氏が発見したものだ。CVE-2021-43211 (ZDI-21-1233) の方は 6 月に Microsoft へ報告されていたが、120 日以内の修正が間に合わず、ZDIが 10 月 27 日にゼロデイ脆弱性として公表していた。
脆弱性の詳細には触れられていないが、Microsoft は 2 件とも「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません。」と説明している。
一方、ZDI の説明によれば、CVE-2021-43211 は攻撃者がディレクトリジャンクションを作成することで Windows Update Assistant を悪用してファイルを削除させることが可能なほか、脆弱性を悪用すれば Administrator のコンテキストで任意コード実行が可能だという。
CVE-2021-42297 (ZDI-21-1334) も CVE-2021-43211 と同様だが、「ディレクトリジャンクション → シンボリックリンク」「ファイルを削除 → フォルダーを削除」「Administrator→SYSTEM」のように置き換えた内容になる。
先日 Naceri 氏がゼロデイとなるバリアントを発表した脆弱性 CVE-2021-41379 でも、Microsoft はファイルの削除のみ可能、Zero Day Initiative は SYSTEM のコンテキストでの任意コード実行が可能と説明していた。
| セキュリティ
| バグ
| Windows
|
関連ストーリー:
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開
2021年11月28日
米国土安全保障省、実際に攻撃が行われている脆弱性 300 件近くへのパッチ適用を政府機関に義務付ける指令を発出
2021年11月06日
Apple、iTunes for Windows 12.12 を再リリース
2021年09月28日
Windowsに特権昇格の新たなゼロデイ脆弱性、原因はレジストリハイブファイルのアクセス権
2021年07月22日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる
2021年07月17日
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース
2021年07月10日
Source: スラッシュドット