VDB-153191 · CVE-2020-0967 · GCVE-0-2020-0967

Microsoft Internet Explorer 9/11 VBScript メモリ破損

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
7.2	$5k-$25k	0.00

要約情報

脆弱性が重大として分類され、Microsoft Internet Explorer 9/11で発見されました。影響を受けるのは、コンポーネント【VBScript】の未知の関数です。未知の値で改ざんすることが、メモリ破損を突く攻撃に繋がります}。この脆弱性はCVE-2020-0967として取引されています。リモート攻撃が可能です。この問題を解決するにはパッチの適用が推奨されます。

脆弱性が重大として分類され、Microsoft Internet Explorer 9/11で発見されました。影響を受けるのは、コンポーネント【VBScript】の未知の関数です。未知の値で改ざんすることが、メモリ破損を突く攻撃に繋がります}。 CWEを使用して問題を宣言すると、CWE-119 につながります。この脆弱性は 2020年04月14日に公開されました、Security Update Guideとして（ウェブサイト）。アドバイザリはportal.msrc.microsoft.comにて共有されています。公開情報のリリースはベンダーと協議済みです。

この脆弱性はCVE-2020-0967として取引されています。リモート攻撃が可能です。技術詳細は存在しません。この脆弱性の普及度は平均未満です。エクスプロイトツールの現在の価格はおそらく米ドルで約$5k-$25kです。アドバイザリーは次を指摘しています。

A remote code execution vulnerability exists in the way that the VBScript engine handles objects in memory. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

未定義として設定されています。 0-dayとして、アンダーグラウンドでの推定価格は$25k-$100k程度でした。

この問題を解決するにはパッチの適用が推奨されます。脆弱性が開示されてからすぐに経過後に、対策が提供されました。