テキストエディタ「vim」に深刻な脆弱性 - パッチがリリース

広く利用されているテキストエディア「vim」に深刻な脆弱性が明らかとなった。パッチが提供されている。

解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2022-2042」が明らかとなったもの。ファジングにより発見されたもので、脆弱性報告サイト「huntr」を通じて開発者に報告された。

発見者の説明では、脆弱性を悪用されると、リモートよりコードを実行されるおそれがあるほか、メモリの改変、防御機能のバイパス、サービス拒否などが生じるおそれがある。「実証コード（PoC）」も公開されている。

共通脆弱性評価システム「CVSSv3」のベーススコアは、「huntr」において「7.4」とされているが、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、CVSS基本値を「9.8」とし、「クリティカル（Critical）」とレーティングしている。

開発チームは「同8.2.5072」にて脆弱性へ対応した。「vim」に関しては、ヒープバッファオーバーフローの脆弱性「CVE-2022-0318」の脆弱性が2月に明らかとなり、「同8.2.4151」にて修正されている。

（Security NEXT - 2022/06/21 ） ツイート

PR

関連記事

主要上場企業の「DMARC」 - 約半数企業で「隔離」「拒否」の取組
国内行の8割超が「DMARC」導入 - 6割超は「none」運用
利用者間で個人情報が流出、同一アカウント発行で - Schoo
市教委サーバでランサム被害、校務に支障も - 赤穂市
Palo Alto製ファイアウォールにDoS脆弱性 - すでに悪用も
開発サーバから情報流出か、DB破壊され脅迫文 - マイナビ子会社
ランサム感染でデータ暗号化、個人情報流出の可能性 - 家具メーカー
高校で生徒氏名含む動画、公開範囲を誤り投稿 - 埼玉県
同僚にストーカー、システムで個人情報閲覧した職員を処分 - 塩尻市
「Deep Security」のWindows向けエージェントに権限昇格の脆弱性