Microsoftの社内担当者+アドレス帳アプリケーション
Microsoftには、Peopleアプリの傘下で、すべてのソーシャルコール、コミュニケーション、および接続を1か所にまとめた独自の集中型アドレス帳があります。サービス拒否の脆弱性が、4のLORDによるMicrosoftPeopleバージョン10.1807.2131.0で発見されました。thこの脆弱性は、MicrosoftのWindows10オペレーティングシステムで検出およびテストされました。
Windows8および10デスクトップオペレーティングシステム上のMicrosoftPeopleアプリケーションは、基本的に、アドレス帳と呼ばれる連絡先管理データベースプラットフォームです。複数のメールアカウントと他のプラットフォームの連絡先を1か所にまとめて、ワンクリックで簡単にアクセスできるようにします。 Appleアカウント、Microsoftアカウント、Xboxアカウント、Googleアカウント、Skypeなどがすべて一か所に組み込まれているため、必要な人とすぐにつながることができます。
スマートアプリケーションは、特定の人に関するすべての情報を含む健全な連絡先カードのさまざまなプラットフォームからの連絡先もマージします。このアプリケーションを使用すると、電子メールやカレンダーを追跡して、関心のある人々と結び付けることができます。
このアプリケーションでは、Pythonエクスプロイトコードが実行され、クラッシュを引き起こすコードがアプリケーションに貼り付けられると、サービス拒否クラッシュが発生します。これを行うには、このコードを含む「poc.txt」テキストファイルの内容をコピーして、peopleアプリケーションを起動する必要があります。アプリケーション内で、「新しい連絡先(+)」をクリックし、クリップボードにコピーしたコードを名前フィールドに貼り付けます。この連絡先を保存すると、アプリケーションはサービス拒否でクラッシュします。
この脆弱性には、CVE識別ラベルがまだ割り当てられていません。ベンダーがこの脆弱性をまだ認識しているかどうか、またはMicrosoftがこの脆弱性を軽減するためのアップデートをリリースする予定があるかどうかについての情報はありません。ただし、脆弱性の詳細を考えると、エクスプロイトはCVSS 3.0スケールで約4の評価になり、プログラムの可用性のみが損なわれる可能性が高く、これを修正するための全体的な更新を保証することなく、懸念が少なくなると思います。それ自身。
タグ マイクロソフト