| タイトル | localtime などを含む MSVCR80.DLL time 関数の 64 ビットバージョンにおけるサービス運用妨害 (DoS) の脆弱性 |
|---|---|
| 概要 | Microsoft Visual C++ 8.0 standard library 64 ビットバージョン (MSVCR80.DLL) の以下を含む time 関数は、3000 年 1 月以降の time 引数を処理する際、NULL ポインタまたは EINVAL ではなく、アサーションエラーを誘発するため、サービス運用妨害 (アプリケーションの終了) 状態となる脆弱性が存在します。 (1) localtime (2) localtime_s (3) gmtime (4) gmtime_s (5) ctime (6) ctime_s (7) wctime (8) wctime_s (9) fstat |
| 想定される影響 | 攻撃者により、過度に大きい time の値を介して、サービス運用妨害 (アプリケーションの終了) 状態にされる可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2007年2月13日0:00 |
| 登録日 | 2012年9月25日16:47 |
| 最終更新日 | 2012年9月25日16:47 |
| CVSS2.0 : 警告 | |
| スコア | 5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:N/I:N/A:P |
| マイクロソフト |
| Microsoft Visual C++ 8.0 |
| Microsoft Visual Studio |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年09月25日] 掲載 |
2018年2月17日10:37 |
| 概要 | The 64-bit versions of Microsoft Visual C++ 8.0 standard library (MSVCR80.DLL) time functions, including (1) localtime, (2) localtime_s, (3) gmtime, (4) gmtime_s, (5) ctime, (6) ctime_s, (7) wctime, (8) wctime_s, and (9) fstat, trigger an assertion error instead of a NULL pointer or EINVAL when processing a time argument later than Jan 1, 3000, which might allow context-dependent attackers to cause a denial of service (application exit) via large time values. NOTE: it could be argued that this is a design limitation of the functions, and the vulnerability lies with any application that does not validate arguments to these functions. However, this behavior is inconsistent with documentation, which does not list assertions as a possible result of an error condition. |
|---|---|
| 公表日 | 2007年2月13日20:28 |
| 登録日 | 2021年1月29日14:06 |
| 最終更新日 | 2024年3月13日2:39 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:microsoft:visual_c\+\+:2005:*:*:*:*:*:*:* | |||||