製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft Windows の LoadLibrary 関数における入力を適切に検証しない脆弱性

Title	Microsoft Windows の LoadLibrary 関数における入力を適切に検証しない脆弱性
Summary	Microsoft Windows の LoadLibrary 関数には、入力を適切に検証しない脆弱性があります。結果として、細工された DLL ファイルをロードしてしまう可能性があります (CWE-114)。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 三井物産セキュアディレクション株式会社吉川孝志氏
Possible impacts	プログラム実行時に、細工された DLL ファイルをロードすることにより、任意のコードを実行させられる可能性があります。
Solution	[アップデートする] 2015 年 6 月 10 日、本脆弱性は 2015 年 6 月のマイクロソフトセキュリティ情報の概要に含まれる MS15-063 で修正されました。開発者が提供する情報をもとに、アップデートを適用してください。
Publication Date	June 12, 2015, midnight
Registration Date	June 12, 2015, 12:10 p.m.
Last Update	June 12, 2015, 12:10 p.m.

Affected System

マイクロソフト

Microsoft Windows

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1758	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1758

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Microsoft
1	日本マイクロソフト株式会社の告知ページ (MS15-063)	https://technet.microsoft.com/ja-jp/library/security/ms15-063
Microsoft Security Bulletin
2	MS15-063	https://technet.microsoft.com/en-us/library/security/ms15-063.aspx

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	Microsoft 製品の脆弱性対策について(2015年6月)	http://www.ipa.go.jp/security/ciadr/vul/20150610-ms.html
JPCERT 注意喚起
2	JPCERT-AT-2015-0016	http://www.jpcert.or.jp/at/2015/at150016.html
JVN
3	JVN#18146081	https://jvn.jp/jp/JVN18146081/index.html
警察庁 @police
4	マイクロソフト社のセキュリティ修正プログラムについて(MS15-056,057,059,060,061,062,063,064)(2015年06月10日)	http://www.npa.go.jp/cyberpolice/topics/?seq=16442

Change Log

No	Changed Details	Date of change
0	[2015年06月12日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-1758

Summary	Untrusted search path vulnerability in the LoadLibrary function in the kernel in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows Server 2012, and Windows RT allows local users to gain privileges via a Trojan horse DLL in an unspecified directory, aka "Windows LoadLibrary EoP Vulnerability."
Publication Date	June 10, 2015, 10:59 a.m.
Registration Date	Jan. 26, 2021, 2:46 p.m.
Last Update	Nov. 21, 2024, 11:26 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:microsoft:windows_rt:-:::::::*
cpe:2.3:o:microsoft:windows_8:-::::::x86:
cpe:2.3:o:microsoft:windows_8:-::::::x64:
cpe:2.3:o:microsoft:windows_7::sp1:x86:::::
cpe:2.3:o:microsoft:windows_server_2008:r2:sp1::::::
cpe:2.3:o:microsoft:windows_vista::sp2::::::*
cpe:2.3:o:microsoft:windows_7::sp1:x64:::::
cpe:2.3:o:microsoft:windows_server_2008::sp2::::::*
cpe:2.3:o:microsoft:windows_server_2012:-:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://jvn.jp/en/jp/JVN18146081/index.html
2	http://jvn.jp/en/jp/JVN18146081/index.html
3	http://jvndb.jvn.jp/en/contents/2015/JVNDB-2015-000086.html
4	http://jvndb.jvn.jp/en/contents/2015/JVNDB-2015-000086.html
5	http://www.securityfocus.com/bid/75004
6	http://www.securityfocus.com/bid/75004
7	http://www.securitytracker.com/id/1032527
8	http://www.securitytracker.com/id/1032527
9	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-063
10	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-063

Common Vulnerabilities List

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:microsoft:windows_rt:-:::::::*
cpe:2.3:o:microsoft:windows_8:-::::::x86:
cpe:2.3:o:microsoft:windows_8:-::::::x64:
cpe:2.3:o:microsoft:windows_7::sp1:x86:::::
cpe:2.3:o:microsoft:windows_server_2008:r2:sp1::::::
cpe:2.3:o:microsoft:windows_vista::sp2::::::*
cpe:2.3:o:microsoft:windows_7::sp1:x64:::::
cpe:2.3:o:microsoft:windows_server_2008::sp2::::::*
cpe:2.3:o:microsoft:windows_server_2012:-:::::::*