McAfee、「Cortana」の脆弱性対策パッチ未適用のWindows 10ユーザーに警鐘

　McAfeeは12日(米国時間)、同社ブログを更新し、Windows 10のアシスタント「Cortana」に存在した脆弱性「CVE-2018-8140」について解説を行なった。

　脆弱性は、Microsoftが12日に配信したセキュリティパッチで修正されているが、McAfeeによれば、同パッチを適用していないWindowsユーザーが多数いるという。

　本脆弱性はMcAfee Labs Advanced Threat Researchチームによって発見されたもので、同社によれば、Cortanaがデフォルトでロック画面でも有効になっており、悪用することで任意のコード実行が可能となる。

　任意のコード実行は、下記の単純な手順で行なえるという。

1. 「タップして話す」または「Hey、コルタナ」と話しかけてコルタナを起動する
2. 「今何時?」と質問をする
3. スペースバーを押すとコンテキストメニュー(今何時に対するコルタナの回答)が表示される
4. ESCボタンを押すとメニューが消える
5. スペースバーをもう一度押し、コンテキストメニューを表示させる(このときは検索クエリが空の状態になっている)
6. 実行させたい任意のコマンドを入力する(バックスペースは使えず、ミスタイプしたらESCボタンからやり直せる)
7. コマンドを入力したら、コマンドカテゴリのエントリーをクリックする
8. 「管理者として実行」をクリックしてコードを実行(UACを突破するにログイン済みの必要がある）

　同社では、この脆弱性を利用して、Windows 10デバイスのパスワード再設定とログインが可能であったと報告しており、早急なパッチの適用を推奨している。