Chakra スクリプト エンジンのメモリ破損の脆弱性

CVE-2019-0860
セキュリティ上の脆弱性

リリース日: 2019年4月9日

最終更新日: 2019年12月10日

Assigning CNA
Microsoft
CVE.org link
MitreCVE-2019-0860

概要

Chakra スクリプト エンジンが Microsoft Edge (HTML ベース) でメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できるように、メモリを破損させる可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしているときに、攻撃者によりこれらの脆弱性が悪用された場合、影響を受けるコンピューターが制御される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。

Web ベースの攻撃シナリオでは、攻撃者は Microsoft Edge (HTML ベース) を介してこの脆弱性を悪用することを目的として特別に細工した Web サイトをホストし、その Web サイトを表示するようにユーザーを誘導する可能性があります。また、攻撃者は侵害された Web サイトおよびユーザーが提供したコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性があります。これらの Web サイトには、これらの脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれている場合があります。

このセキュリティ更新プログラムは、Chakra スクリプト エンジンがメモリ内のオブジェクトを処理する方法を変更することにより、これらの脆弱性を解決します。

悪用可能性

次の表は、最初の公開時点でのこの脆弱性の悪用可能性評価をまとめたものです。

Publicly disclosed
なし
Exploited
なし
Exploitability assessment
悪用される可能性が高い

謝辞

  • Suyoung Lee  of Web Security & Privacy Lab at KAIST HyungSeok Han of SoftSec Lab at KAIST Sang Kil Cha  of SoftSec Lab at KAIST Sooel Son of Web Security & Privacy Lab at KAIST
マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、「謝辞」を参照してください。

セキュリティ更新プログラム

お使いのソフトウェアのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

リリース日 Descending
All results loaded
21 行すべてを読み込みました

免責

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

MSRC セキュリティ更新プログラム ガイドの満足度はどのくらいですか?