JVNDB-2004-000278

Microsoft Windows のタスクスケジューラにおける任意のコードを実行される脆弱性

Microsoft Windows に含まれているタスクスケジューラには、アプリケーション名の長さに対するチェックが不適切であるため、意図的なアプリケーション名をタスクスケジューラに解釈させることにより、バッファオーバーフローが発生する脆弱性が存在します。

マイクロソフト

• Microsoft Windows 2000
• Microsoft Windows NT 4.0 (server) 
• Microsoft Windows NT 4.0 (terminal_srv) 
• Microsoft Windows NT 4.0 (workstation) 
• Microsoft Windows XP sp3 

タスクスケジューラを実行したユーザの権限で任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

マイクロソフト

• Microsoft Security Bulletin : MS04-022
• マイクロソフト セキュリティ情報 : MS04-022

1. CVE-2004-0212

1. JVN : JVNTA04-196A
2. JVN Status Tracking Notes : TRTA04-196A
3. National Vulnerability Database (NVD) : CVE-2004-0212
4. JPCERT REPORT : JPCERT-WR-2004-2801
5. 警察庁 @police : Windowsの脆弱性（MS04-022）を攻撃するプログラムについて
6. 警察庁 @police : タスク スケジューラの脆弱性により、コードが実行される問題について
7. 警察庁 @police : HTMLヘルプの脆弱性により、コードが実行される問題について
8. 警察庁 @police : Windows シェルの脆弱性により、リモートでコードが実行される問題について
9. US-CERT Vulnerability Note : VU#228028
10. US-CERT Technical Cyber Security Alert : TA04-196A
11. IPA 緊急対策情報 : 20040714-ms04-022
12. CIAC Bulletins : O-178
13. Secunia Advisory : SA12060
14. SecurityFocus : 10708
15. ISS X-Force Database : win-taskscheduler-bo (16591)
16. SecurityTracker : 1010688
17. Symantec Security Response : bloodhound.exploit.12
18. Symantec Security Response : bloodhound.exploit.12

• [2007年04月01日]
    掲載