Windowsで動くプログラミング言語に脆弱性、引数の扱い方の穴を突いて攻撃
マイナビニュース / 2024年4月12日 7時43分
CERT Coordination Center (CERT/CC, Carnegie Mellon University)は4月10日(米国時間)、「VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows」において、Windows上で動作する複数のプログラミング言語から引数を適切にエスケープしない脆弱性を発見したと報じた。この脆弱性はアプリケーションのコマンドインジェクションにつながるとして注意を呼びかけている。
○脆弱性の詳細
多くのプログラミング言語にはオペレーティングシステム上で任意のコマンドを実行する機能(Go言語のexec.CommandやPythonのsubprocess.runなど)が用意されている。これら機能はコマンド名とコマンドに渡す引数(以下、コマンドライン引数と呼称)を受け取る仕組みがあり、プログラミング言語は環境に合わせた方法にて指定されたコマンドを起動する。
Windowsの場合は「CreateProcess」と呼ばれるシステム標準のアプリケーション・プログラミング・インタフェース(API: Application Programming Interface)を使用してコマンドを実行する(参考:「プロセスを作成する - Win32 apps | Microsoft Learn」)。
このAPIに渡すコマンドライン引数は適切にエスケープすることが期待されており、Microsoftは2011年に誤った使用方法と解決策について文書化している(参考:「Everyone quotes command line arguments the wrong way | Microsoft Learn」)。
今回発見された不具合は、複数のプログラミング言語においてこのコマンドライン引数のエスケープが不適切とされるもので、攻撃者は慎重にコマンドライン引数を組み立てることで任意のコマンドを実行する可能性がある。
この脆弱性は脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)に複数登録されており、「CVE-2024-1874」、「CVE-2024-22423」、「CVE-2024-24576」、「CVE-2024-3566」として追跡されている。
○脆弱性の影響を受けるプログラミング言語
-
- 1
- 2
この記事に関連するニュース
-
Windowsで動く複数のプログラミング言語の脆弱性に注意喚起、JPCERT/CC
マイナビニュース / 2024年4月17日 8時9分
-
バッファローの無線LANルータに複数の脆弱性、アップデートを
マイナビニュース / 2024年4月16日 16時31分
-
パロアルトネットワークスのファイアウォールに緊急の脆弱性、アップデートを
マイナビニュース / 2024年4月16日 8時47分
-
Googleが生成AI向け独自CPU「Google Axion」プロセッサを発表/Intel N100を採用した超小型コンピューティングモジュール「LattePanda Mu」
ITmedia PC USER / 2024年4月14日 6時5分
-
HTTP/2プロトコルの一部実装に脆弱性、DoS攻撃でシステム停止のリスク
マイナビニュース / 2024年4月8日 9時35分
ランキング
-
1ジョージア大使、松屋にポーランド風ハンバーグ登場で心配「国際情勢に影響しかねない熾烈な戦いになりそう」
iza(イザ!) / 2024年5月1日 13時55分
-
2パイオニアの車載スマートデバイス「NP1」を試して感じたイイところ、ムムムなところ 音声操作前提のドラレコ&カーナビ
ITmedia Mobile / 2024年5月2日 6時5分
-
3Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意
マイナビニュース / 2024年5月2日 8時31分
-
4「そっち使うの?!」「これは天才」 さびだらけの鉄くぎをぐつぐつ煮込むと……? DIYに役立つ“まさかの使い道”が200万再生
ねとらぼ / 2024年5月2日 12時15分
-
5ドコモで買える指輪「EVERING」、Visaのタッチ決済に対応 「かざして支払う」利便性が「Suica使える」との誤認に
ITmedia Mobile / 2024年5月2日 6時5分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください