OpenVPNに発見された複数の脆弱性の情報公開、Microsoft
マイナビニュース / 2024年8月13日 16時33分
Microsoftはこのたび、公式ブログ「Chained for attack: OpenVPN vulnerabilities discovered leading to RCE and LPE」において、OpenVPNに発見された複数の脆弱性に関する詳細情報を公開した。脆弱性の深刻度は中程度と評価されており、組み合わせることでリモートコード実行およびローカル権限昇格で構成されるサイバー攻撃に悪用できる可能性があるという。2024年3月21日にリリースされたOpenVPN 2.6.10および2.5.10にアップデートすることで、これらの脆弱性の影響を回避できる。
○悪用につながる4つの脆弱性
OpenVPNはWindowsやmacOS、iOS、Androidなど、さまざまなプラットフォームにおいて広く利用されているオープンソースのVPNソリューション。Microsoftによれば、同社の研究チームは2024年3月に次の4つの脆弱性を発見し、OpenVPNプロジェクトに報告したという。
CVE-2024-27459: Windowsプラットフォームでサービス拒否(DoS)およびローカル権限昇格を引き起こす可能性がある脆弱性
CVE-2024-24974: Windowsプラットフォームで不正アクセスを許す可能性がある脆弱性
CVE-2024-27903: Windowsプラットフォームでリモートコード実行を、Android/iOS/macOS/BSDでローカル権限昇格やデータ操作を引き起こす可能性がある脆弱性
CVE-2024-1305: Windows TAPドライバーを通じてサービス拒否(DoS)を引き起こす可能性がある脆弱性
このうち、CVE-2024-1305はOpenVPNで使用されるターミナル アクセス ポイント (TAP) アダプタのドライバーに含まれる脆弱性で、攻撃者が設定するパラメータによってメモリオーバーフローが発生する危険性があるというもの。CVE-2024-27459はOpenVPNのクライアントプログラムであるopenvpn.exeプロセスとopenvpnserv.exeサービス間の通信メカニズムに存在する脆弱性で、openvpnserv.exeサービスがopenvpn.exeプロセスからメッセージを読み込む際にスタックオーバーフローが発生する可能性がある。
-
-
- 1
- 2
-
この記事に関連するニュース
-
Linuxカーネルのエクスプロイト発表、研究者らが実用レベルへ引き上げ
マイナビニュース / 2024年8月13日 15時46分
-
シスコのIP電話に緊急の脆弱性、確認と交換を
マイナビニュース / 2024年8月13日 13時40分
-
Windowsにゼロデイ脆弱性発見、修正パッチをロールバックされる恐れ
マイナビニュース / 2024年8月8日 14時52分
-
MicrosoftがVMware ESXi権限昇格の脆弱性悪用を確認、アップデートを
マイナビニュース / 2024年7月31日 8時18分
-
マイクロソフトが重大なセキュリティ脆弱性を発見 VMwareの仮想化システムが標的に
ASCII.jp / 2024年7月30日 10時25分
ランキング
-
1Anker、最高峰の充電器シリーズ「Anker Prime」!8つの革新的な新製品が登場
ITライフハック / 2024年8月13日 14時0分
-
2「男性の体臭苦手」投稿で契約解除の女子アナ、ネットでは舌鋒鋭い擁護の声も「当たり前の事言っただけなのに」「お前らマジでくさいで」
ねとらぼ / 2024年8月13日 15時10分
-
3HD-2D版『ドラクエ3』はFC世代には「俺ら向けじゃない」? “落ちてる”ものに厳しい声!
マグミクス / 2024年8月12日 21時25分
-
4白上フブキ、星街すいせい、さくらみこなどホロライブ9名がゾンビ蔓延る世界でサバイバル―大神ミオ主催「ホロ7Days To Die」8月14日より開催決定!
インサイド / 2024年8月12日 23時4分
-
5「Xperia 1 VI」を1カ月使って感じた“変化と進化” これぞ唯一無二のエンタメマシンだ
ITmedia Mobile / 2024年8月12日 10時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)