概要

CISA（米国のサイバーセキュリティとインフラストラクチャセキュリティ庁）は、Microsoft Windowsに対する重大な脆弱性をそのKnown Exploited Vulnerabilities (KEV) カタログに追加しました。この特定のセキュリティ上の欠陥はCVE-2008-0015として識別され、Windows Video ActiveX Controlが影響を受け、リモートコード実行（RCE）を可能とします。

詳細

CISAは2026年2月17日にカタログを更新し、この脆弱性が既に悪用されていることを確認しました。これは未修正のシステムに対して重大なリスクをもたらす可能性があります。

影響範囲

• CVE ID: CVE-2008-0015
• 脆弱性名: Microsoft Windows Video ActiveX Control Remote Code Execution Vulnerability
• 追加日: 2026年2月17日
• 期限: 2026年3月10日

脆弱性の詳細

この脆弱性は、Microsoft Windows Video ActiveX Controlが特定の入力を処理する方法にあります。攻撃者は、この欠陥を悪用するために特別に作成されたウェブページを使用します。

影響と対策

ユーザーがこの悪意のあるページにアクセスすると、脆弱性は攻撃者がリモートで任意のコードを実行する可能性を与えます。成功した場合、脅威アクターは現在ログインしているユーザーと同じ権限を持ちます。

• 管理者権限を持っている場合、攻撃者は影響を受けたシステムを完全に制御し、プログラムのインストールやデータの視聴・削除、新しいアカウントの作成などを行うことができます。

CVE-2008-0015が2008年に最初に識別されたにもかかわらず、現在でも悪用されている事実は、レガシーソフトウェアコンポーネントによる継続的なリスクを示しています。

対策の推奨

CISAは、FCEB（Federal Civilian Executive Branch）機関に対して、この脆弱性を2026年3月10日までに修正するよう命じています。ただし、この指示は連邦機関のみが適用されますが、CISAはすべての組織がこの問題に対処することを強く推奨しています。

システム管理者は、Microsoftから提供される対策を適用したり、特定の対策がない場合は製品を使用を停止する必要があります。

---

元記事: https://gbhackers.com/cisa-flags-windows-video-activex-control/