WorstFit:Windows ANSIに潜む隠されたトランスフォーマー
2025-01-09
セキュリティ研究者Orange Tsaiは、Windowsにおける新たな攻撃面であるWorstFitを明らかにしました。Best-Fit文字コード変換機能を利用することで、UTF-16からANSIへの変換における予期せぬ変換を悪用し、パス・トラバーサル、引数インジェクション、さらにはリモートコード実行(RCE)につながります。様々な言語設定におけるBest-Fitマッピングの予測不可能性は、多くの著名なアプリケーションに影響を与えます。本研究は、オープンソースエコシステムにおけるこの問題の修正の難しさを強調し、ワイド文字APIの使用などの緩和策を提案しています。
テクノロジー
文字コード