グーグルが「Windows 10」に存在する脆弱性を新たに公表

Liam Tung (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)2018年02月22日 14時18分

 Googleのセキュリティチーム「Project Zero」が、「Windows 10」に影響する未修正の脆弱性を新たに公表している。報告から90日の期限が過ぎてもMicrosoftが修正や公開を行わなかったためだ。

 Googleは先ごろ、Microsoftが期限内に修正できなかったWindows 10のエクスプロイト対応策を回避できる脆弱性を明らかにしたが、それに続いて米国時間2月20日、新たなセキュリティの問題を公表した。Project Zeroの研究者James Forshaw氏によると、今回の問題は、Microsoftが2月の定例パッチで修正したとみられたが、実際には修正されていなかったという。

 Forshaw氏は2017年11月、Windows 10の同じ機能に影響する2つ脆弱性をMicrosoftに報告した。これらの脆弱性は、Googleによって「issue 1427」「issue 1428」とされており、脆弱性を実証する概念実証コードも添えられている。

 この脆弱性には、「CVE-2018-0826」というIDが付与された。Microsoftは先週この脆弱性に対処し、「重要」で悪用される「可能性が高い」としていた。

 「『Storage Services』がメモリ内のオブジェクトを不適切に扱った場合に、特権昇格の脆弱性が存在する。攻撃者がこの脆弱性の悪用に成功すれば、昇格されたコンテキストでプロセスが実行される可能性がある」とMicrosoftは述べている。

 「この脆弱性を悪用するには、まずシステムにログオンし、影響を受けるシステムを制御するために特別に細工されたアプリケーションを実行する必要がある」(Microsoft)

 だがForshaw氏によると、issue 1428で説明したこの「特殊なケース」を見逃さないよう2つの報告書を提出したにもかかわらず、Microsoftのパッチはissue 1427にしか対処していないという。

 Forshaw氏は11月に、「これが同じ機能に存在する別の脆弱性であることに注目してほしい。修正パッチでこのケースも見逃さないように、別々に報告書を提出するつもりだ」と述べていた。

 Forshaw氏は今週、投稿を更新して次のように記した。「報告書にはこのケースを忘れないようきわめて明確に書いていたのに、この問題に対処するパッチを精査したところ、Microsoftは修正していない」

 Forshaw氏によると、Googleがこの問題の深刻度を「高い」と評価したのに対し、Microsoftは「重要」としており、この違いを説明する複数の要因があるという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]