Microsoft Corporation |
12月17日(米国時間)にSoftpediaに掲載された記事「BadWinmail Microsoft Outlook Bug Can Give Attackers Control Over PCs」が、Microsoft Outlookにメールを読み込むだけで任意のコマンドが実行される脆弱性が存在すると伝えた。Haifei Liのセキュリティ研究者が発見した脆弱性とされており、研究者によってこの脆弱性は「BadWinmail」と名付けられている。
公開された記事では、実際に脆弱性を悪用して、Outlookでメールを閲覧することでアプリケーション(calc)が起動する様子が動画で掲載されている。いったんInboxに読み込んだ後はOutlookの起動の段階でこのアプリケーションが起動してくるなど、リンクをクリックするといった操作なしに利用可能な脆弱性であることが示されている。
Outlookは複数のコンテンツを含んだメールを閲覧でき、対象となるデータにはFlashも含まれている。今回の脆弱性はFlashの脆弱性を悪用するもので、メールの読み込み時にこの脆弱性を悪用して任意のアプリケーションの起動に成功している。この脆弱性はすでにMS15-131 (CVE-2015-6172)で修正されたと説明があるため、セキュリティアップデートを適用することで対処できる。