Googleがいまだに悪用されているWindowsのゼロデイバグを公表

次の記事

iPhoneが目が見えない人に他人の接近とその距離を知らせる機能を搭載する

Google(グーグル)が、現在のところ公表されていないWindowsの脆弱性について、その詳細を明らかにした。同社によると、その脆弱性は現在でもハッカーが頻繁に悪用しているという。グーグルはMicrosoft(マイクロソフト)に、1週間の修復猶予期間を与えている。そしてその締切が過ぎた米国時間10月30日の午後、脆弱性の詳細を公表した。

この脆弱性には名前がなく「CVE-2020-17087」というラベルが付いている。被害は主にWindows 7とWindows 10で生じている。

脆弱性を発見したグーグルのセキュリティグループであるProject Zeroによると、このバグによりWindowsの自分のユーザーアクセスのレベルを上げることができるという。Windowsの脆弱性とChromeの別のバグを一緒に用いるが、後者はグーグルが先週公表しフィックスしている。新しいバグでは、通常は他のアプリケーションから隔離されているChromeのサンドボックスを逃れて、オペレーティングシステムの上でマルウェアを動かすことができる。

Project Zeroの技術長であるBen Hawkes(ベン・ホークス)氏はTwitter上で、マイクロソフトが11月10日にパッチを発行する予定だと述べている。

マイクロソフトに問い合わせたが明確な返答はないが、声明で次のように語られている。「マイクロソフトは顧客への責任を重視して、報告されているセキュリティ問題を調査し、被害デバイスをアップデートして顧客を保護する。公表に関して、すべての研究者が締切を守るよう努めているが、それには今回のような短期間の締切も含まれている。セキュリティアップデートの開発は時宜性とクォリティとのバランスであり、顧客に迷惑をかけず最大限の顧客保護を実現することが、我々にとって究極の目標だ」。

犯人とその動機については不明だ。グーグルの脅威情報担当ディレクターであるShane Huntley(シェーン・ハントリー)氏によると、犯行は特定の人物を対象としているが、米国の選挙とは無関係だという。

マイクロソフトの広報担当者は、報告されている犯行は「極めて限られた、特定の目標を狙ったものであり、犯行が広範囲に及んだことを示すエビデンスは見つからない」と述べている。

2020年はWindowsの大きな欠陥が多く報告されたが、今回はその最新のものとなる。マイクロソフトは2020年1月に、NSA(国家安全保障局)の助力によりWindows 10の暗号のバグを発見したが、悪用のエビデンスはないという。しかし6月と9月には、国土安全保障省が、2つの重要なWindowsのバグを警告している。1つはインターネット全体に拡散力する可能性があり、もう1つは、Windowsのネットワーク全体に対する完全なアクセスを取得することができた。

【追記】マイクロソフトからのコメントにより本記事をアップデートした。

関連記事
【緊急】マイクロソフトとNSAがWindows10に影響を与えるセキュリティバグを警告(パッチリリース済)
米国土安全保障省がSMBの脆弱性を突くWindows 10のワーム化可能なバグを警告
米国土安全保障省がWindowsの「緊急」レベル脆弱性に異例警告、深刻度最大のZerologon攻撃を受ける可能性

カテゴリー:セキュリティ
タグ:MicrosoftGoogle

画像クレジット:

原文へ

(翻訳:iwatani、a.k.a. hiwa