OpenType フォント ドライバーの脆弱性 – CVE-2015-2426

OpenType フォント ドライバーの脆弱性 – CVE-2015-2426

Microsoft フォント ドライバーの脆弱性により、リモートでコードが実行される (3079904)

公開日: 2015 年 7 月 21 日

https://technet.microsoft.com/library/security/MS15-078

このセキュリティ更新プログラムにより、Microsoft Windows の脆弱性が解決されます。 この脆弱性により、ユーザーが特別な細工がされた文書を開いたり、埋め込まれた OpenType フォントを含む信頼されていない web ページにアクセスすると、リモートでコードが実行される可能性があります。

-中略-


脆弱性の内容

OpenType フォント ドライバーの脆弱性 – CVE-2015-2426
Windows Adobe Type Manager Library が特別な細工がされた OpenType フォントを不適切に処理した場合に Microsoft Windows にリモートでコードが実行される脆弱性が発生します。 攻撃者はこの脆弱性を悪用し、影響を受けるコンピューターを完全に制御する可能性があります。 攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。
特別な細工がされた文書をユーザーに開かせたり、埋め込まれた OpenType フォントを含む信頼されていない web ページにユーザーを訪問させるなど、攻撃者がこの脆弱性を悪用する方法は複数考えられます。 この更新プログラムは、Windows Adobe Type Manager Library が OpenType フォントを処理する方法を修正することにより、この脆弱性を解決します。
マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般に公表されたことを確認していましたが、お客様が攻撃されていたことを示す情報は受け取っていませんでした。 マイクロソフトの解析では、悪用コードが作成されて攻撃者が安定的に脆弱性を悪用する可能性があると評価しています。