ニュース
» 2015年01月05日 11時55分 UPDATE

Windows 8.1に未修正の脆弱性、Googleの情報開示に疑問も

パッチが公開されていないものの、GoogleはMicrosoftへの報告から90日が経過したとして情報を開示した。

[ITmedia]

 MicrosoftのWindows 8.1 Updateに権限昇格につながる未修正の脆弱性が存在するとして、Googleが米国時間の2014年12月29日に情報を公開した。パッチは公開されておらず、Googleの公開方法に疑問を呈する意見もあるようだ。

 Googleによると、脆弱性はNtApphelpCacheControlに存在する。Windows 8.1 Updateでは新しいプロセスが作成された際に、NtApphelpCacheControlでキャッシュされたアプリケーション互換性データベースを迅速に参照できるようにしているが、キャッシュへエントリを追加する時に必要な管理者権限(一般の権限では参照のみ)の確認がNtApphelpCacheControlによって適切に行われないという。細工されたトークンを使うことで、ユーザーアカウント制御(UAC)が迂回され、権限昇格につながる恐れがある。

 脆弱性はWindows 8.1 Updateの32ビット版と64ビット版で確認されたが、Windows 7などUAC機能を持つ他のOSへの影響は不明だとしている。

 Googleは2014年9月30日にMicrosoftへこの脆弱性を報告したといい、報告から90日後に自動で脆弱性情報を公開する場合があると説明。同社は以前から「深刻な脆弱性は60日以内に修正すべき」との方針を示しており、2013年には「重大な脆弱性は7日以内の情報公開すべき」としていた。

msgole01.jpg Googleは情報公開が遅れれば、被害拡大につながりかねないとのスタンスだ

 しかし英セキュリティ企業のSophosは、脆弱性を修正するパッチの開発に90日間では不十分な場合もあると指摘し、Googleの公開方針に疑問を呈している。90日間ではパッチの品質を十分に確保できない可能性があるといい、2014年はMicrosoftのパッチ公開後に不具合が発生する事態も相次いだ。

 Microsoftは今回の脆弱性の修正パッチを開発しているとみられ、Sophosは2015年最初の月例セキュリティ更新プログラム(日本時間1月14日の予定)でリリースされるだろうとしている。

関連キーワード

Google | 脆弱性 | 情報開示 | Microsoft | Windows 8.1


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ