SEブログ

【Security】Windows vCardにゼロデイ脆弱性が発覚

 

こんにちは!SE ブログの相馬です。

 

 

 

今回は、Windows の vCard にゼロデイ脆弱性が発覚しているようですので情報を共有します。

 

 

Microsoft Windows VCF – Remote Code Execution | EXPLOIT DATABASE

 

 

vCard とは、連絡先情報を保管する標準的なファイル形式になります。VCF とも呼ばれ、このファイルは Outlook や 連絡先を管理するプログラムで使用する事ができます。

 

 

脆弱性の詳細については、ITmedia の記事を引用させていただきました。

 

VCardファイルに細工を施したデータを仕込んで、Windowsで危険なハイパーリンクを表示させることが可能とされ、リモートの攻撃者がこの問題を突いて任意のコードを実行できてしまう恐れがある。

Windowsに未解決の脆弱性報告、任意のコード実行の恐れ  | ITmedia エンタープライズ

 

 

セキュリティ研究者の John Page が去年 (2018 年) 、この脆弱性を発見し、Trend Micro の Zero Day Initiative (ZDI) を通じて、Microsoft に報告したようです。

 

 

Microsoft は月次セキュリティパッチで修正する方向で動いていたようなのですが、次期 Windows のメジャーバージョンのアップデート (April update 2019)で修正するように延期したそうで、その結果、John Page と ZDI がこの脆弱性を開示する事に踏み切ったそうです。

 

 

こちらが John Page の PoC の公開コードを使ったデモなります。

 

 

 

CVSS (共通脆弱性評価システム) での危険度のスコアは、10 点中 7.8 としています。深刻度としては重要となっています。

 

 

深刻度 スコア
緊急 9.0~10.0
重要 7.0~8.9
警告 4.0~6.9
注意 0.1~3.9
なし 0