ガジェット

Microsoft、サポート診断ツールのゼロデイ脆弱性を認める

headless 曰く、

Microsoft は 5 月 30 日、Microsoft サポート診断ツール (MSDT) のゼロデイ脆弱性 CVE-2022-30190 を公表した
(Microsoft のガイダンス
日本語抄訳
BetaNews の記事
The Register の記事)。

Follina とも呼ばれる CVE-2022-30190 は「ms-msdt」URL を用いて MSDT を呼び出す機能に存在するリモートコード実行 (RCE) 脆弱性だ。この脆弱性は Word などのアプリケーションから悪用でき、呼び出し元アプリケーションの権限で任意のコードが実行可能になるという。

この脆弱性を悪用するエクスプロイトは昨年 10 月にテストされており、Microsoft は 4 月に報告を受けていた。Microsoft はセキュリティに関する問題だと認めていなかったが、5 月下旬には新たな攻撃が確認され、脆弱性を認めることになったようだ
(DoublePulsar の記事)。

現時点で Microsoft は脆弱性を修正する更新プログラムを提供していないが、回避策としてレジストリの「HKCRms-msdt」をバックアップしてから削除する手順を紹介している。

すべて読む

| セキュリティセクション

| セキュリティ

| マイクロソフト

| バグ

| Windows
|
この記事をTwitterでつぶやく
この記事をFacebookで共有
この記事をGoogle Plusで共有
このエントリーをはてなブックマークに追加

関連ストーリー:

Dell SupportAssistでまた脆弱性が見つかる
2019年06月23日

WindowsにおけるDLLハイジャック脆弱性、多くのメジャーなソフトウェアにも
2010年08月27日

マイクロソフトがセキュリティ診断ツールをオープンソースとして発表
2009年03月25日

Source: スラッシュドット