Original

Microsoft Windows の RtlQueryRegistryValues() 関数には、読み込んだレジストリデータを正しく検証しない脆弱性が存在します。 なお、本脆弱性を使用した攻撃コードが公開されています。 Microsoft Windows は、ユーザ定義の Unicode 文字 (外字) を使用するための end-user defined characters (EUDC) をサポートしています。Windows カーネル (win32k.sys) の graphics device interface (GDI) は、 EUDC レジストリキーに含まれるフォント情報を読み込みます。具体的には、GreEnableEudc() が RtlQueryRegistryValues() を使用して、レジストリキー HKCU\EUDC\(codepage)\SystemDefaultEUDCFont の値を読み込みます。RtlQueryRegistryValues() は、REG_SZ (ストリング) の値を想定しており、レジストリキー SystemDefaultEUDCFont が指定するバッファに書き込みます。 デフォルト設定において、権限のないユーザが EUDC レジストリキーを変更することが可能です。また、RtlQueryRegistryValues() は SystemDefaultEUDCFont から読み込まれたデータの検証を行いません。 SystemDefaultEUDCFont のデータを変更することで、攻撃者はカーネルメモリを上書きすることが可能です。