「Outlook」の脆弱性、メールプレビューで情報漏洩 - パスワードクラックのおそれも
﹁Outlook﹂で悪意あるメールをプレビューを開くと、ユーザー名やパスワードハッシュなどの情報が取得されるおそれがあることがわかった。複雑ではないパスワードを用いている場合、短期間で解読されるおそれもあるとしてセキュリティ機関が注意を呼びかけている。
影響を受ける製品︵表‥MS︶ 悪用の危険性が指摘された脆弱性は、﹁CVE-2018-0950﹂。 同脆弱性は、CERT/CCの研究者がMicrosoftに報告したもの。深刻度は﹁重要﹂ながら、悪用が容易であり、CERT/CCからも注意が呼びかけられている。 ﹁Outlook﹂においてプレビューでRTFファイルを表示する際、確認のアラートを表示することなく、リモートよりOLEコンテンツを取得するという。 OLEコンテンツがSMBサーバでホストされている場合、自動的に接続してシングルサインオンを用いて認証を試行し、IPアドレスやドメイン名、ユーザー名やホスト名、パスワードハッシュなどが取得されるおそれがある。複雑なパスワードを用いていない場合、短期間で解読されるおそれがあるとしている。 またほかの脆弱性を組み合わせることで、ブルースクリーンによるサービス拒否も発生させることが可能だという。 脆弱性の報告を受けたMicrosoftでは、4月10日に公開した月例セキュリティ更新で修正を実施。アップデートのリリース時点で悪用は確認されていないとしている。 プレビューを開く必要があることから、同社による深刻度は4段階中、上から2番目の﹁重要﹂とレーティングしている。一方、悪用可能性指標は、悪用される可能性が高い﹁1﹂とされており、今後の悪用が懸念される。 ︵Security NEXT - 2018/04/11 ︶
ツイート
影響を受ける製品︵表‥MS︶ 悪用の危険性が指摘された脆弱性は、﹁CVE-2018-0950﹂。 同脆弱性は、CERT/CCの研究者がMicrosoftに報告したもの。深刻度は﹁重要﹂ながら、悪用が容易であり、CERT/CCからも注意が呼びかけられている。 ﹁Outlook﹂においてプレビューでRTFファイルを表示する際、確認のアラートを表示することなく、リモートよりOLEコンテンツを取得するという。 OLEコンテンツがSMBサーバでホストされている場合、自動的に接続してシングルサインオンを用いて認証を試行し、IPアドレスやドメイン名、ユーザー名やホスト名、パスワードハッシュなどが取得されるおそれがある。複雑なパスワードを用いていない場合、短期間で解読されるおそれがあるとしている。 またほかの脆弱性を組み合わせることで、ブルースクリーンによるサービス拒否も発生させることが可能だという。 脆弱性の報告を受けたMicrosoftでは、4月10日に公開した月例セキュリティ更新で修正を実施。アップデートのリリース時点で悪用は確認されていないとしている。 プレビューを開く必要があることから、同社による深刻度は4段階中、上から2番目の﹁重要﹂とレーティングしている。一方、悪用可能性指標は、悪用される可能性が高い﹁1﹂とされており、今後の悪用が懸念される。 ︵Security NEXT - 2018/04/11 ︶
ツイート
PR
関連記事
未使用でも影響、7月修正の「IEゼロデイ脆弱性」 - 遅くとも5月に悪用
Dockerエンジンの認証プラグインに脆弱性 - CVSSは最高値だが悪用可能性は低
「BIND 9」にアップデート - DoS脆弱性4件を修正
Chromeのアップデートが公開 - セキュリティ関連で24件の修正
「MS Edge」にセキュリティアップデート - 脆弱性8件を修正
ブラウザ「Chrome」にアップデート - セキュ関連で10件の修正
特権アクセス管理製品「Symantec PAM」に複数脆弱性 - 「クリティカル」も
JupyterLabの機能拡張作成用テンプレートに脆弱性 - リポジトリに影響
WPプラグイン「WooCommerce Social Login」に複数の脆弱性
「Apache CloudStack」でSAML認証をバイパスされるおそれ
