Visual Studio JSON のリモートでコードが実行される脆弱性

CVE-2020-17023

セキュリティ上の脆弱性

リリース日: 2020年10月15日

Assigning CNA: Microsoft

CVE.org link: MitreCVE-2020-17023

概要

Visual Studio Code で、ユーザーが悪意のある 'package.json' ファイルを開くように誘導されたときに、リモートでコードが実行される脆弱性が存在します。この脆弱性の悪用に成功した攻撃者は、現在のユーザーのコンテキストで任意のコードを実行する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。

攻撃者がこの脆弱性を悪用するには、リポジトリを複製してそれを Visual Studio Code で開くように標的のユーザーを誘導する必要があります。攻撃者が指定したコードは、標的のユーザーが悪意のある 'package.json' ファイルを開いたときに実行されます。

この更新プログラムは、Visual Studio Code が JSON ファイルを処理する方法を変更することにより、この脆弱性を解決します。

悪用可能性

次の表は、最初の公開時点でのこの脆弱性の悪用可能性評価をまとめたものです。

Publicly disclosed: なし
Exploited: なし
Exploitability assessment

謝辞

Justin Steven (@justinsteven)

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティコミュニティの方々からいただいたご助力に感謝いたします。詳細については、「謝辞」を参照してください。

セキュリティ更新プログラム

お使いのソフトウェアのサポートライフサイクルを確認するには、Microsoft サポートライフサイクルの Web サイトを参照してください。

リリース日 Descending

リリース日

製品

プラットフォーム

影響

最大深刻度

資料

ダウンロード

Build Number

2020年10月15日

Visual Studio Code

Remote Code Execution

Important

Release Notes

Security Update

All results loaded

1 行すべてを読み込みました

免責

マイクロソフトサポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

version

revisionDate

description

1.0

2020年10月15日

情報が公開されました。

MSRC セキュリティ更新プログラムガイドの満足度はどのくらいですか?