GoogleがWindowsの脆弱性情報をまた公開、Microsoftに非難されても方針変えず

MicrosoftはGoogleのやり方を強く批判しているが、Googleは「報告から90日たってもパッチが提供されなければ自動的に情報を公開する」という方針を変えていない。

[鈴木聖子，ITmedia]

　米Googleが、MicrosoftのWindowsに存在する未解決の脆弱性に関する情報をまた新たに公開した。MicrosoftはGoogleのこうしたやり方を強く批判しているが、Googleは「報告から90日たってもパッチが提供されなければ自動的に情報を公開する」という方針を変えていない。

　今回は2件の脆弱性情報が1月15日に公開された。いずれもコンセプト実証コード（PoC）を併せて公開している。このうちWindows 7と8.1に存在するセキュリティバイパス／情報流出の脆弱性は、2014年10月17日にMicrosoftに報告されていたもので、危険度は「中」程度と評価している。

公開されたセキュリティバイパス／情報流出の脆弱性

　Googleによれば、Microsoftもこの脆弱性の存在を確認し、1月のパッチで修正する予定だったという。しかし、「互換性問題のために見送る必要が生じ、2月のパッチで修正される見通しとなった」としている。

　もう1件の脆弱性はWindows 7のセキュリティバイパス問題で、危険度は低いとされる。Microsoftからは「セキュリティ情報を公開して対応するほど深刻な問題ではない。Windowsの今後のバージョンで修正を検討する」という返答があったという。GoogleもMicrosoftの見方に同意して、この情報の閲覧制限を解除したと説明している。

Windows 7のセキュリティバイパスの脆弱性

　Microsoftはこれに先立ち1月11日のブログで、GoogleがMicrosoftのパッチ公開を待たずにWindowsの未解決の脆弱性に関する情報を公開したことを非難。「結果として被害を被るのは顧客だ。Googleにとって正しいことが顧客にとって常に正しいとは限らない」と強調していた。