Windows 10 更新アシスタントに脆弱性

「Windows 10 更新アシスタント」(Windows 10 Update Assistant)にローカルでの特権昇格の脆弱性(CVE-2019-1378)が発見されたそうだ(セキュリティ更新プログラムガイド、Bleeping Computerの記事、Softpediaの記事)。

この脆弱性を悪用すると、ローカルの攻撃者がシステム権限で任意のコードを実行可能になるという。ただし、発見者のJimmy Bayne氏がBleeping Computerに語ったところによると、特権昇格はアップデート実行中にコンポーネントを乗っ取ることで実現されるといい、実際の攻撃に使われる可能性は低いようだ。また、更新アシスタントは実行ファイルごとにアップデート先のWindows 10バージョンが決まっているため、対象バージョンへのアップデート完了後は攻撃不可能になるとみられる。

それでも過去に更新アシスタントの実行ファイルをダウンロードしたことがある場合は削除し、実行済みの場合はアンインストールすることが推奨されている。Bleeping ComputerではKB4023814が適用されたWindows 10にも更新アシスタントがインストールされているとして、こちらも削除することを推奨している。なお、現在「Windows 10のダウンロード」ページでダウンロード可能な更新アシスタントは脆弱性が修正されているとのことだ。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | アップグレード | バグ | Windows

　関連ストーリー：
Windows 10 May 2019 Update、段階的な一般提供開始 2019年05月25日
Windows 10 April 2018 Update、一般向けにリリース 2018年05月02日
Windows 10 Fall Creators Update、一般向けにリリース 2017年10月19日
Windows 10 Sのインストーラーが公開される 2017年08月05日
Microsoft、Windows 10バージョン1507にアップデートを促す通知の表示を開始 2017年07月06日
Microsoft、Windows 10をバージョン1511にアップデートするツールをリリース 2016年05月19日