Windowsに未解決の脆弱性、Googleが独自方針で情報を公開
Googleは「攻撃が発生している重大な脆弱性については、報告から7日たってもパッチがリリースされなければ公表する」という独自のポリシーに基づいて、Windowsの未解決の脆弱性に関する情報を公表した。
米Googleは10月31日、MicrosoftのWindowsに存在する未解決の脆弱性に関する情報を公表した。この脆弱性を突く攻撃が発生したことを受け、ユーザーを守るため公表に踏み切ったと強調している。
Googleのブログによると、同社は10月21日に、ゼロデイの脆弱性(それまで公になっていなかった脆弱性)に関する情報をMicrosoftとAdobe Systemsに報告した。Adobeは同月26日に緊急公開したFlash Playerのセキュリティアップデートでこの脆弱性を修正している。
しかし、Windowsの脆弱性はまだ修正されていないことから、Googleは「攻撃が発生している重大な脆弱性については、報告から7日たってもパッチがリリースされなければ公表する」というGoogle独自のポリシーに基づいて、情報を公開することにしたという。「今回の脆弱性は、既に悪用されているという点で特に深刻」だとも説明した。
Windowsに存在するのはカーネルにおけるローカル権限昇格の脆弱性で、悪用されればセキュリティ対策のサンドボックスをかわされる恐れがあるという。GoogleのWebブラウザChromeでは、この問題を突く攻撃は防止できるとした。
これに対してMicrosoftはニュースサイトVentureBeatの取材に応え、「Googleによる情報の公開は顧客を潜在的なリスクにさらす」と批判した。脆弱性修正のための更新プログラムをいつ公開するかは明らかにしていない。
VentureBeatは関係者の話として、「Googleが指摘したような悪用のためにはAdobe Flashの脆弱性を突く必要がある。Flashの脆弱性が修正されたことからWindowsの脆弱性は緩和される」と伝えている。
関連記事
Flashの未解決の脆弱性突く攻撃発生、Adobeが臨時パッチ公開
この問題を突くコードが既に出回っていて、Windows 7、8.1および10を狙った限定的な標的型攻撃に使われているという。
Windowsの設計に起因する攻撃手法「AtomBombing」、セキュリティ企業が発見
名称はこの攻撃がWindowsの「アトムテーブル」と呼ばれる仕組みを突いていることに起因する。コードの脆弱性を突くわけではないため、修正パッチでは対応できないという。
MSがGoogle非難、Windowsの脆弱性情報公開を巡り
GoogleがWindowsの未解決の脆弱性情報を公開したことに対し、Microsoftは「結果として被害を被るのは顧客だ。Googleにとって正しいことが顧客にとって常に正しいとは限らない」と強調した。
Google研究者がWindowsの脆弱性情報を公開 Microsoftの対応に不満か
情報を公開したGoogleの研究者は、「Microsoftは脆弱性研究者を非常に敵対的に扱う」と不満を漏らしている
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
ITmediaはアイティメディア株式会社の登録商標です。