Windowsのタスクスケジューラのゼロデイ脆弱性が公表される
タレコミ by headless
headless 曰く、
Windowsのタスクスケジューラに存在するゼロデイ脆弱性がTwitterで公表された(The Registerの記事、 VU#906424、 Softpediaの記事、 BetaNewsの記事)。
この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、ローカルユーザーがSYSTEM権限を取得できるというものだ。引退したセキュリティリサーチャーだという発見者は、GitHubでPOCも公開している。Microsoftの報奨金プログラムに不満があるようで、Microsoftには報告しないとも述べている。
CVSSスコアは6.4(Environmental)~6.8(Base)で、いずれも深刻度は中となっている。CERT/CCでは公表されているエクスプロイトが動作することを64ビット版Windows 10およびWindows Server 2016で確認しているが、ほかのバージョンのWindowsでも改造により動作する可能性があると説明している。
MicrosoftはThe Registerに対し、できるだけ早く更新するという定型のコメントを出したそうだが、深刻度が高くないことから9月の月例更新までは修正されないとみられている。
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される More ログイン