【活用ガイド】

JVNDB-2010-001811

Microsoft Windows のショートカットファイルの処理に脆弱性

概要

Microsoft Windows には、ショートカットファイルを表示することで任意のコードを自動的に実行してしまう脆弱性が存在します。

Microsoft Windows は、ショートカットファイル (LNK) を適切に処理しない脆弱性が存在します。細工された LNK ファイルを Windows Explorer 上などで表示した場合に、任意のコードを自動的に実行してしまう可能性があります。

なお、本脆弱性を使用した攻撃活動が確認されています。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.8 (重要) [NVD値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


マイクロソフト
  • Microsoft Windows 7 (x32) 
  • Microsoft Windows 7 (x64) 
  • Microsoft Windows Server 2003
  • Microsoft Windows Server 2003 (itanium) 
  • Microsoft Windows Server 2003 (x64) 
  • Microsoft Windows Server 2008 (x86) 
  • Microsoft Windows Server 2008 (itanium) 
  • Microsoft Windows Server 2008 (x64) 
  • Microsoft Windows Server 2008 r2(itanium) 
  • Microsoft Windows Server 2008 r2(x64) 
  • Microsoft Windows Vista
  • Microsoft Windows Vista (x64) 
  • Microsoft Windows XP sp3 
  • Microsoft Windows XP (x64) 

想定される影響

細工された LNK ファイルを Windows Explorer 上などで表示させることで、ユーザの権限で任意のコードを実行される可能性があります。
対策

[アップデートする]
2010年8月3日にセキュリティ更新プログラムが公開されました。マイクロソフトが提供する情報 (MS10-046) をもとにアップデートしてください。

[ワークアラウンドを実施する]
2010年7月17日にマイクロソフト セキュリティ アドバイザリ (2286198) が公開されました。以下の回避策に関する情報が提供されています。

* ショートカットのアイコン表示を無効にする
* WebClient サービスを無効にする

詳しくは Microsoft が提供する情報をご確認ください。
ベンダ情報

マイクロソフト
  • Microsoft Corporation : 967715
  • Microsoft Corporation : bb456992
  • Microsoft Security Advisory : 2286198
  • Microsoft Security Bulletin : MS10-046
  • マイクロソフト セキュリティ アドバイザリ : 2286198
  • マイクロソフト セキュリティ情報 : MS10-046
  • 絵でみるセキュリティ情報 : MS10-046e
富士通
  • 富士通 セキュリティ情報 : TA10-222A
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2010-2568
参考情報

  1. JVN : JVNTA10-222A
  2. JVN : JVNVU#940193
  3. JVN Status Tracking Notes : JVNTR-2010-20
  4. National Vulnerability Database (NVD) : CVE-2010-2568
  5. JPCERT 緊急報告 : JPCERT-AT-2010-0019
  6. JPCERT 緊急報告 : JPCERT-AT-2010-0020
  7. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS10-046)
  8. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS10-046,047,048,049,050,051,052,053,054,055,056,057,058,059,060)
  9. US-CERT Cyber Security Alerts : SA10-222A
  10. US-CERT Vulnerability Note : VU#940193
  11. US-CERT Technical Cyber Security Alert : TA10-222A
  12. CISA Known Exploited Vulnerabilities Catalog : CVE-2010-2568
  13. IPA 緊急対策情報 : 20100803-ms10-046
  14. Secunia Advisory : SA40647
  15. SecurityFocus : 41732
  16. SecurityTracker : 1024216
  17. VUPEN Security : VUPEN/ADV-2010-1836
更新履歴

  • [2010年08月11日]
      掲載
  • [2024年07月01日]
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:内容を更新
      参考情報:CISA Known Exploited Vulnerabilities Catalog (CVE-2010-2568) を追加