「魔法使いの夜」などTYPE-MOON製ゲームにOSコマンドを実行される脆弱性（JVN）

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は11月5日、TYPE-MOONが提供する複数のゲーム製品にOSコマンドインジェクションの脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSSによる最大Base Scoreは6.8。

「Fate/stay night（CD版、DVD版）」「Fate/hollow ataraxia」「魔法使いの夜」「Fate/stay night + hollow ataraxia（セット版）」には、OSコマンドインジェクションの脆弱性（CVE-2015-5672）が存在する。この脆弱性が悪用されると、細工されたセーブデータを読み込むことで、任意のOSコマンドを実行される可能性がある。JVNでは、信頼のおけない提供元から提供されたセーブデータを読み込まないことで、本脆弱性の影響を回避することが可能としている。

《吉澤亨史@ScanNetSecurity》