Microsoft、18年にわたってWindowsに存在した脆弱性を修正
2014年11月16日 16:59
18年にわたってWindowsに存在していた脆弱性 CVE-2014-6332 (MS14-064) が、11月の定例更新で修正された(Security Intelligenceの記事、TrendLabs Security Intelligence Blogの記事、BBC Newsの記事、ITmediaニュースの記事)。
この脆弱性はOleAut32ライブラリのバグが原因で、配列のサイズ変更が適切に処理されないためにリモートからコードが実行される可能性がある。バグ自体は少なくとも19年前から存在していたが、18年前にInternet Explorer 3.0がリリースされたことで、VBScriptの「ReDim Preserve」ステートメントを使用して悪用が可能になったという。IE11の拡張保護モードや、EMETやDEPといった保護機能も迂回できるということで、すでに実証コードも公開されているそうだ。MicrosoftではサポートされているすべてのWindowsについて深刻度が「緊急」と評価している。脆弱性はIBM X-Force Researchによって5月に発見されたが、Microsoftによる修正が完了するまで公表されなかったとのことだ。 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | バグ | Windows | IT
関連ストーリー:
Microsoftが14日にリリースした更新プログラムに不具合 2014年10月22日
揺るがされるオープンソースセキュリティーの理想 2014年10月19日
WindowsのOLEに脆弱性、外部から任意のコードが実行される可能性 2014年10月17日
SSL 3.0に深刻な脆弱性が見つかる 2014年10月15日
GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に 2014年09月25日
8月の月例更新、一部の環境でWindowsが起動しなくなるなどの問題が発生 2014年08月17日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日
OpenSSLに新たな脆弱性が発見される 2014年06月06日
1991年から存在していたX11のバグが発見される 2014年01月13日
放置されていたMySQLのバグ、バグ報告から7年が経ったことを記念してケーキが贈られる 2013年07月02日
更新プログラムの適用後、一部の環境でWindowsが起動しなくなる問題が発生 2013年04月13日
jQuery 1.4 に向けた、直すべき “お気に入り” バグアンケート 2009年11月09日
さらに太古のバグが見つかる 2008年07月13日
ほぼすべてのBSDに存在してきたseekdir()のバグが25歳で死す 2008年05月10日