Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Visual Studioに任意のコード実行が可能な脆弱性 研究者がPoCを公開セキュリティニュースアラート

Visual Studioに脆弱性(CVE-2024-30052)が見つかった。この脆弱性は細工したダンプファイルを使用して任意のコードを実行可能にするもので、PoCも公開されている。

» 2024年10月09日 08時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 セキュリティ研究者は2024年10月4日(現地時間、以下同)、「Microsoft Visual Studio」(以下、Visual Studio)の脆弱(ぜいじゃく)性(CVE-2024-30052)の詳細情報と、PoC(概念実証)コードを公開した。セキュリティ研究者はこの脆弱性を悪用することで細工したダンプファイルを使って任意のコードが実行できることを指摘している。

Visual Studioに任意のコード実行が可能な脆弱性 研究者がPoCを公開

 ダンプファイルはクラッシュなどの問題を調査するために重要なデータとして使われる。ユーザーから送信されてくるダンプファイルは解析システムに入力されたり、開発者によって分析が実施されて問題を修正したりするために使われる。

 セキュリティ研究者は今回、PDBファイルが埋め込まれた実行可能ファイルを含む完全なヒープメモリを持つダンプファイルをデバッグする場合、ロジック的に任意のコードを実行するためのパスが存在することを発見した。これを悪用することで.htaや.chm、.pyなどの特定の拡張子を使い、ファイルが開かれると実行される任意のコードを書くことが可能になるという。

 研究者は2023年8月14日にこの問題をMicrosoftに報告した。Microsoftは当初この問題をそれほど重要なものとは判断しておらず、修正には消極的だったとされている。研究者はそのあと何度かMicrosoftに連絡を取り、最終的に2024年6月11日に問題を修正した「Visual Studio 2022 version 17.8」が公開された。

 PoCが公開されているものの、MicrosoftはCVE-2024-30052の深刻度を共通脆弱性評価システム(CVSS)v3.1のスコアで警告のレベルと分析しており、それほどリスクの高いものとは認識していない。

 なお、「Visual Studio 2022」については執筆段階で、より新しいバージョンの「Visual Studio 2022 version 17.8系」が公開されており、特に強い理由がない限り基本的には最新版にアップデートして利用することが望まれる。

Copyright © ITmedia, Inc. All Rights Reserved.

メールマガジンのお知らせ

メールマガジン

企業を変革するビジネス視点のメールマガジンを毎朝配信中!!

あなたにおすすめの記事PR