Microsoftのコード1行の欠陥が数十億のAndroidアプリダウンロードを危険にさらした経緯
Microsoftのコード1行の欠陥が数十億のAndroidアプリダウンロードを危険にさらした経緯
| 項目 | 内容 |
|---|---|
| ジャンル | セキュリティ |
| 日付 | 2026-06-02 |
| 元記事 | SecurityWeek |
要約
Enclaveのセキュリティ研究者が、Word・PowerPoint・Excel・Microsoft 365 Copilot・Loop・OneNoteなど6つのMicrosoft AndroidアプリにOAuth認証トークンを漏洩させる重大な脆弱性を発見した。本来アプリ間のトークン共有を保護するメカニズムが、デバッグモードを有効化するフラグのコード残存により無効化されており、攻撃者は15行程度のコードで任意のアプリからトークンを取得できた。取得したトークンを悪用すれば、メール・ファイル・ドキュメント・カレンダーへの無制限アクセスが可能であった。Microsoftは5月12日にCVE-2026-41100〜41102としてパッチを配布済みで、早急なアップデートが推奨される。