Windows AppX Deployment Service においてファイルハンドルの取り扱い不備により任意のファイルのフルアクセス権が掌握可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2025.11.18(火)

Windows AppX Deployment Service においてファイルハンドルの取り扱い不備により任意のファイルのフルアクセス権が掌握可能となる脆弱性(Scan Tech Report)

Microsoft Windows において、任意のファイルのフルアクセス権を取得することが可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
183 views
facebookLINE
◆概要

 Microsoft Windows において、任意のファイルのフルアクセス権を取得することが可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、操作するためには管理者権限が必要となるファイルであってもフルアクセス権を奪取されてしまうことにより任意のファイルを操作されてしまいます。セキュリティ更新プログラムの適用により対策してください。

◆分析者コメント

 当該脆弱性はファイルのアクセス権を変更するのみですが、脆弱性の悪用が容易であり、操作されてしまうファイルによっては、対象ホストに侵入した攻撃者に管理者権限を奪取されてしまう可能性があります。セキュリティ更新プログラムの適用により、速やかに対策することを推奨します。

◆深刻度(CVSS)

[CVSS v3]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2019-0841&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

[CVSS v2]
7.2
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2019-0841&vector=(AV:L/AC:L/Au:N/C:C/I:C/A:C)

◆影響を受けるソフトウェア

 以下のバージョンの Microsoft Windows が当該脆弱性の影響を受けます。

  - Microsoft Windows 10 Version 1703
  - Microsoft Windows 10 Version 1709
  - Microsoft Windows 10 Version 1803
  - Microsoft Windows 10 Version 1809
  - Microsoft Windows Server 2019
  - Microsoft Windows Server, version 1709
  - Microsoft Windows Server, version 1803

◆解説

 Microsoft Windows において、ストアアプリケーションを展開するためのサービスである Windows AppX Deployment Service (AppXSVC) に存在する不備により、任意のファイルのフルアクセス権が奪取可能となる脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. テインにランサムウェア攻撃、グループ各社にも影響

    テインにランサムウェア攻撃、グループ各社にも影響

  2. 東証上場企業 クレジットカード情報流出 88 日後公表

    東証上場企業 クレジットカード情報流出 88 日後公表

  3. Blue Yonder社のシフト作成ツールへの不正アクセスで西友従業員の個人情報が漏えい

    Blue Yonder社のシフト作成ツールへの不正アクセスで西友従業員の個人情報が漏えい

  4. 攻撃者側のウェブサイトに社名と会社ロゴが掲載 ~ エネサンスホールディングスへのランサムウェア攻撃

    攻撃者側のウェブサイトに社名と会社ロゴが掲載 ~ エネサンスホールディングスへのランサムウェア攻撃

  5. 公開サーバのファイルと同じ ~ サイバー攻撃グループ名乗る人物が「IIJ からソースコードを盗み出した」とファイルを添付し投稿

    公開サーバのファイルと同じ ~ サイバー攻撃グループ名乗る人物が「IIJ からソースコードを盗み出した」とファイルを添付し投稿

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 エクスプロイト 記事
TOP