Google研究者がWindowsの脆弱性情報を公開 Microsoftの対応に不満か

情報を公開したGoogleの研究者は、「Microsoftは脆弱性研究者を非常に敵対的に扱う」と不満を漏らしている

» 2013年05月24日 06時49分 公開
[鈴木聖子,ITmedia]

 米Googleの研究者がMicrosoftのWindowsに存在する未解決の脆弱性を発見したとして、セキュリティセキュリティメーリングリスト「Full Disclosure」に情報を投稿した。脆弱性研究を専門とするセキュリティ企業のSecuniaもこの脆弱性の存在を確認し、5月21日付でアドバイザリーを公開している。

 脆弱性情報は、Googleの研究者、テイビス・オーマンディ氏が5月17日付でFull Disclosureに投稿した。この中で同氏は、「Win32k.sys」に発見したという脆弱性について解説。3月にも同じ情報を公開したが、「自分にはくだらないMicrosoftコードに費やすような自由時間はあまりないので、悪用のための最後の障壁を取り除くためのアイデアを募る」とした。

 続いてオーマンディ氏は、5月20日にもFull Disclosureに追加の情報を投稿し、「現在サポートされているWindowsの全バージョンに通用するワーキングエクスプロイトを作成した」と宣言した。

 これを受けてSecuniaが公開したアドバイザリーによれば、脆弱性はwin32k.sysで特定のオブジェクトを処理する方法に存在する。この問題を悪用された場合、サービス妨害(DoS)攻撃を誘発されたり、権限を昇格されたりする恐れがあるという。

 この脆弱性は最新のパッチを当てたWindows 7 x86 Professionalで確認され、Windows 8でも報告されているとSecuniaは指摘する。危険度については同社の5段階評価で下から2番目の「Less critical」と評価した。

 オーマンディ氏は、過去にもWindowsの未解決の脆弱性情報をMicrosoftが発表する前に公開し、物議を醸したことがある。今回の脆弱性をめぐっても、5月15日付の個人ブログで「Microsoftは脆弱性研究者を非常に敵対的に扱う」と不満を漏らしている。

関連キーワード

脆弱性 | Windows | Microsoft | Google | 情報開示


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ