Microsoftが2月の月例更新でMicrosoft Defenderのマルウェア対策エンジン「Microsoft Malware Protection Engine」で発見された脆弱性CVE-2021-24092を修正している(セキュリティ更新プログラムガイド、 SentinelLabsのブログ記事、 HackReadの記事)。

Microsoftのセキュリティ更新プログラムガイドでは特権昇格の脆弱性とのみ説明されているが、発見したSentinelLabsによれば権限なしに任意ファイルを上書き可能な脆弱性だという。

Microsoft Malware Protection Engineは内部名BTR.sysというドライバーをランダムなファイル名で読み込んでマルウェア削除などの修復処理を実行する。この際にログファイル「BootClean.log」をシステムのTempディレクトリーに生成するのだが、既に同名のファイルが存在する場合はファイルが実体なのかハードリンクなのかを確認せずに削除して新しいログファイルを作成してしまうそうだ。これにより、攻撃者はBootClean.logという名前のハードリンクを作成することで任意ファイルを上書き可能となる。この脆弱性を任意コードの実行に悪用するのは困難だが、不可能ではないとのこと。

この脆弱性がいつ導入されたのかは不明だが、SentinelLabsがVirusTotalにアップロードされたファイルを検索したところ、遅くとも2009年には脆弱性が存在していたそうだ。SentinelLabsでは長年にわたって脆弱性が発見されずにいた理由として、ドライバーファイルが常時存在せず、必要な場合のみランダムなファイル名で読み込まれる点を指摘する。

脆弱性はマルウェア対策エンジンのバージョン1.1.17800.5で修正されている。Windows 10でバージョンを確認するには「Windowsセキュリティ」を開き、「設定」で「バージョン情報」をクリックして「エンジンのバージョン」を確認すればいい。この脆弱性が実際の攻撃で使われている形跡はなく、自動更新が有効になっていれば既に修正済みのはずだが、確認しておくといいだろう。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ |

関連ストーリー：
Chromium系ブラウザー全般に影響するV8のゼロデイ脆弱性 2021年02月06日
Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど 2021年02月04日
リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 2021年02月02日
sudoに10年近く前から存在した脆弱性が修正される 2021年01月30日
Microsoft、ドメインコントローラー強制モードのデフォルト有効化に向けて対応を呼びかけ 2021年01月22日
Windows 10でBSoDを引き起こすWin32デバイス名前空間パス 2021年01月20日

Android版で接触通知が行われないという致命的なバグのあった「接触通知アプリCOCOA」だが、iPhoneにも使用日数が数日毎にリセットされるといった致命的な不具合が複数報告されている（Togetter）。yprestoさんのツイートによると、

COCOA iOSが初期化されるバグ、Xamarin.Formsがファイルを削除→移動している箇所でbreakpointで止めて、そのままアプリを落とすと、確かに初期化されることを確認しました（Githabへの書き込み）

すべて読む | ITセクション | 日本 | マイクロソフト | バグ | 政府 |

関連ストーリー：
COCOAの開発・運営、厚生労働省からから内閣官房に移管を検討されるも…… 2021年02月13日
COCOAのような緊急アプリはデジタル庁で開発主導へ。平井デジタル改革担当相 2021年02月08日
COCOAのAndroid版に接触通知が送られない不具合。4か月間気がつかず 2021年02月04日
Microsoftが「.NET 5」正式リリース。1つのフレームワークで分断化した.NETを統合へ 2020年11月17日
30、31日の横浜スタジアムでのコロナ対策に関する技術実証実験、入場数が実験の目標数に届かず 2020年11月02日
MicrosoftによるGitHub買収が完了 2018年10月30日
MS、MacなしでのiOSアプリ開発が可能になる「Xamarin Live Player」を発表 2017年05月17日