Bleeping Computerは2018年10月24日(米国時間)、「New Windows Zero-Day Bug Helps Delete Any File, Exploit Available」において、研究者らによって新たなWindowsのゼロデイ脆弱性に関する情報が公開されたと伝えた。すでにWindows 10でこの脆弱性を悪用する方法が確認されている。Microsoftからはこの脆弱性に対する修正やアップデートは提供されていない。
-
CERT/CCで脆弱性アナリストを務めるWill Dormann氏が脆弱利が悪用できることを報告している
この脆弱性を悪用されると、システムファイルですら削除することが可能だという。さらに、この仕組みを悪用することで特権昇格が実施できる可能性があるとされており、最終的に影響を受けたシステムの制御権が乗っ取られる危険性がある。
ただし記事では、この脆弱性を悪用した実用的な攻撃方法を見つけることは難しいといった意見が掲載されており、実際の攻撃に悪利用されるかどうかはわからない状況となっている。とはいえ、脆弱性が存在するのは確かで、攻撃が可能であることも示されている。
Microsoftからのセキュリティ情報の発表に注目するとともに、場合によっては必要に応じてパッチやアップデートを手適用することが望まれる。
