Windowsのタスクスケジューラのゼロデイ脆弱性が公表される

headless曰く、

Windowsのタスクスケジューラに存在するゼロデイ脆弱性がTwitterで公表された(RegisterVU#906424SoftpediaBetaNews)。

この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、ローカルユーザーがSYSTEM権限を取得できるというものだ。引退したセキュリティリサーチャーだという発見者は、GitHubでPOCも公開している。Microsoftの報奨金プログラムに不満があるようで、Microsoftには報告しないとも述べている。

CVSSスコアは6.4(Environmental)~6.8(Base)で、いずれも深刻度は中となっている。CERT/CCでは公表されているエクスプロイトが動作することを64ビット版Windows 10およびWindows Server 2016で確認しているが、ほかのバージョンのWindowsでも改造により動作する可能性があると説明している。

MicrosoftはThe Registerに対し、できるだけ早く更新するという定型のコメントを出したそうだが、深刻度が高くないことから9月の月例更新までは修正されないとみられている。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、Intelプロセッサーの脆弱性に対応する新たなマイクロコードアップデートを提供 2018年08月25日
WindowsアプリのインストーラのDLL読込み脆弱性、Microsoftは自社製品を修正せず 2018年05月22日
Microsoft、3月のWindows 10向け月例更新でAVソフトウェアの互換性チェックを撤廃 2018年03月18日
仮想通貨の採掘をバックグラウンドで行うツールを同梱するフリーウェアが登場 2018年03月14日