Windows 8.1に未修正の脆弱性、Googleの情報開示に疑問も

パッチが公開されていないものの、GoogleはMicrosoftへの報告から90日が経過したとして情報を開示した。

[ITmedia]

　MicrosoftのWindows 8.1 Updateに権限昇格につながる未修正の脆弱性が存在するとして、Googleが米国時間の2014年12月29日に情報を公開した。パッチは公開されておらず、Googleの公開方法に疑問を呈する意見もあるようだ。

　Googleによると、脆弱性はNtApphelpCacheControlに存在する。Windows 8.1 Updateでは新しいプロセスが作成された際に、NtApphelpCacheControlでキャッシュされたアプリケーション互換性データベースを迅速に参照できるようにしているが、キャッシュへエントリを追加する時に必要な管理者権限（一般の権限では参照のみ）の確認がNtApphelpCacheControlによって適切に行われないという。細工されたトークンを使うことで、ユーザーアカウント制御（UAC）が迂回され、権限昇格につながる恐れがある。

　脆弱性はWindows 8.1 Updateの32ビット版と64ビット版で確認されたが、Windows 7などUAC機能を持つ他のOSへの影響は不明だとしている。

　Googleは2014年9月30日にMicrosoftへこの脆弱性を報告したといい、報告から90日後に自動で脆弱性情報を公開する場合があると説明。同社は以前から「深刻な脆弱性は60日以内に修正すべき」との方針を示しており、2013年には「重大な脆弱性は7日以内の情報公開すべき」としていた。

Googleは情報公開が遅れれば、被害拡大につながりかねないとのスタンスだ

　しかし英セキュリティ企業のSophosは、脆弱性を修正するパッチの開発に90日間では不十分な場合もあると指摘し、Googleの公開方針に疑問を呈している。90日間ではパッチの品質を十分に確保できない可能性があるといい、2014年はMicrosoftのパッチ公開後に不具合が発生する事態も相次いだ。

　Microsoftは今回の脆弱性の修正パッチを開発しているとみられ、Sophosは2015年最初の月例セキュリティ更新プログラム（日本時間1月14日の予定）でリリースされるだろうとしている。