Google(グーグル)が、現在のところ公表されていないWindowsの脆弱性について、その詳細を明らかにした。同社によると、その脆弱性は現在でもハッカーが頻繁に悪用しているという。グーグルはMicrosoft(マイクロソフト)に、1週間の修復猶予期間を与えている。そしてその締切が過ぎた米国時間10月30日の午後、脆弱性の詳細を公表した。
この脆弱性には名前がなく「CVE-2020-17087」というラベルが付いている。被害は主にWindows 7とWindows 10で生じている。
脆弱性を発見したグーグルのセキュリティグループであるProject Zeroによると、このバグによりWindowsの自分のユーザーアクセスのレベルを上げることができるという。Windowsの脆弱性とChromeの別のバグを一緒に用いるが、後者はグーグルが先週公表しフィックスしている。新しいバグでは、通常は他のアプリケーションから隔離されているChromeのサンドボックスを逃れて、オペレーティングシステムの上でマルウェアを動かすことができる。
Project Zeroの技術長であるBen Hawkes(ベン・ホークス)氏はTwitter上で、マイクロソフトが11月10日にパッチを発行する予定だと述べている。
マイクロソフトに問い合わせたが明確な返答はないが、声明で次のように語られている。「マイクロソフトは顧客への責任を重視して、報告されているセキュリティ問題を調査し、被害デバイスをアップデートして顧客を保護する。公表に関して、すべての研究者が締切を守るよう努めているが、それには今回のような短期間の締切も含まれている。セキュリティアップデートの開発は時宜性とクォリティとのバランスであり、顧客に迷惑をかけず最大限の顧客保護を実現することが、我々にとって究極の目標だ」。
犯人とその動機については不明だ。グーグルの脅威情報担当ディレクターであるShane Huntley(シェーン・ハントリー)氏によると、犯行は特定の人物を対象としているが、米国の選挙とは無関係だという。
マイクロソフトの広報担当者は、報告されている犯行は「極めて限られた、特定の目標を狙ったものであり、犯行が広範囲に及んだことを示すエビデンスは見つからない」と述べている。
2020年はWindowsの大きな欠陥が多く報告されたが、今回はその最新のものとなる。マイクロソフトは2020年1月に、NSA(国家安全保障局)の助力によりWindows 10の暗号のバグを発見したが、悪用のエビデンスはないという。しかし6月と9月には、国土安全保障省が、2つの重要なWindowsのバグを警告している。1つはインターネット全体に拡散力する可能性があり、もう1つは、Windowsのネットワーク全体に対する完全なアクセスを取得することができた。
【追記】マイクロソフトからのコメントにより本記事をアップデートした。
関連記事
・【緊急】マイクロソフトとNSAがWindows10に影響を与えるセキュリティバグを警告(パッチリリース済)
・米国土安全保障省がSMBの脆弱性を突くWindows 10のワーム化可能なバグを警告
・米国土安全保障省がWindowsの「緊急」レベル脆弱性に異例警告、深刻度最大のZerologon攻撃を受ける可能性
カテゴリー:セキュリティ
タグ:Microsoft、Google
画像クレジット:
[原文へ]
(翻訳:iwatani、a.k.a. hiwa)
