Windows の情報漏えいの脆弱性

CVE-2019-0838
セキュリティ上の脆弱性

リリース日: 2019年4月9日

最終更新日: 2019年12月10日

Assigning CNA
Microsoft
CVE.org link
MitreCVE-2019-0838

概要

Windows タスクスケジューラが Windows 資格情報マネージャーに不適切に資格情報を開示した場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、ユーザーのコンピューターをさらに侵害する情報を取得する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。   この脆弱性の悪用には、攻撃者はまずシステムにログオンする必要があります。ログオン後、攻撃者はこの脆弱性を悪用できる特別に細工したアプリケーションを実行する可能性があります。   このセキュリティ更新プログラムは、タスク スケジューラが資格情報を処理する方法を変更することにより、この脆弱性を解決します。

悪用可能性

次の表は、最初の公開時点でのこの脆弱性の悪用可能性評価をまとめたものです。

Publicly disclosed
なし
Exploited
なし
Exploitability assessment
悪用される可能性は低い

よく寄せられる質問

この脆弱性により、どのような情報が漏えいする可能性がありますか。

攻撃者がこの脆弱性を悪用した場合に漏えいする可能性のある情報の種類は、カーネル メモリの読み取り、つまりユーザー モード プロセスからカーネル空間のメモリ コンテンツに対する意図しない読み取りアクセスです。

謝辞

  • Tristan Bennett of Seamless Intelligence
マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、「謝辞」を参照してください。

セキュリティ更新プログラム

お使いのソフトウェアのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

リリース日 Descending
All results loaded
42 行すべてを読み込みました

免責

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

MSRC セキュリティ更新プログラム ガイドの満足度はどのくらいですか?