Microsoftは9月14日(米国時間)、「Uncursing the ncurses: Memory corruption vulnerabilities found in library|Microsoft Security Blog」において、テキストユーザインタフェース(TUI: Text User Interface)をサポートする「ncurses」と呼ばれるライブラリにメモリ破損の脆弱性を発見したと伝えた。この脆弱性は2023年4月8日(米国時間)までに修正されている。

  • Uncursing the ncurses: Memory corruption vulnerabilities found in library|Microsoft Security Blog

    Uncursing the ncurses: Memory corruption vulnerabilities found in library|Microsoft Security Blog

ncursesは1993年にリリースされた歴史のあるソフトウェアで、現在でもLinux、macOS、FreeBSDなどのオペレーティングシステム上で一般的に使用されている。今回Microsoftにより報告されたncursesの脆弱性は「CVE-2023-29491」として追跡されており、ncursesバージョン6.4 20230408より前のバージョンに存在する。CVSSスコアは7.8で重要(HIGH)に分類されている。

Microsoftによるとこの脆弱性は、環境変数ポイズニングにより脆弱性を連鎖させた特権の昇格が可能で、ncursesを使用している標的のプログラムのコンテキストでコードを実行するなど、悪意ある行動を引き起こす可能性があるとされる。Microsoftは、topコマンドを使いさまざまなエラーを引き起こす方法を具体的に解説している。

ncursesを使用しているオペレーティングシステムを扱う管理者は、オペレーティングシステムのセキュリティ情報を確認し、必要があれば指示に従いアップデートを行うことが望まれる。また、システム標準ではないアプリケーションでncursesを利用している場合も、ベンダーの情報を確認してアップデートすることが望まれる。

なお、Microsoftはこの脆弱性に関し、Microsoft Defender for EndpointによってmacOSのtopコマンドなどのncursesを使ったsetuidバイナリの潜在的な悪用を検出することができるとしている。

MicrosoftはWSL (Windows Subsystem for Linux)でLinuxをサポートしたり、Linux系のコマンドをベースシステムに取り組んだりといった活動も行っている。すべてのプラットフォームにわたる脅威が増大し続けるなか、使用しているプラットフォームやデバイスに関係なく、ユーザーのコンピューティングエクスペリエンスを継続的に保護するよう努めているとして、オペレーティングシステムの垣根を超えてセキュリティ対策に取り組んでいることを表明している。