Windowsに未解決の脆弱性、Google研究者が情報公開
この問題は、公開が延期された2月の月例セキュリティ更新プログラムで対応される予定だったのではないかとGoogle研究者は推測している。
» 2017年02月21日 08時35分 公開
[鈴木聖子,ITmedia]
米Googleの研究者がMicrosoftのWindowsに存在する未解決の脆弱性を発見したとして、コンセプト実証コードなどを公開した。
それによると、脆弱性はWindowsのGDIライブラリ(gdi32.dll)に実装されているEMFレコードに組み込まれたDIB(Device Independent Bitmap)の処理に起因する。Googleの研究者は過去にもこれに関連する脆弱性を報告していたといい、その後一部の脆弱性は修正されたが、まだ未解決の問題が残っているのが見つかったと報告した。
悪用されればユーザーの個人情報や仮想アドレススペースに関する情報などセンシティブな情報が流出する恐れがあるとされ、危険度は「中程度」と評価している。研究者は細工を施したEMFファイルをWord文書に仕込む手口を使い、ローカルのInternet ExplorerとリモートのOffice Onlineの両方で、この脆弱性を再現できることを確認したとしている。
Microsoftには2016年11月16日に報告したが、90日以内に修正されなかったことから情報を公開したと研究者は説明。この問題は、公開が延期された2月の月例セキュリティ更新プログラムで対応される予定だったのではないかと推測している。
関連記事
Microsoft、2月の月例更新プログラムは3月分と併せて公開
公開を延期していた2月の月例セキュリティ更新プログラムは、3月の月例更新プログラムと併せて公開する。
Microsoft、月例セキュリティ更新プログラムの公開を延期
直前になって問題が見つかり、この日までに解決できなかったことから、公開を延期することにしたと説明している。更新プログラムがいつ公開されるのかは、現時点で明らかにしていない。
Microsoft、セキュリティ情報公開の方式を変更 2月からはサマリー掲載廃止
2月からは従来の月例セキュリティ情報ページへのサマリー掲載を中止し、新ポータルのみを通じて更新情報を提供する。
Windowsの未解決の脆弱性、次回月例更新プログラムで対処の見通し 危険度評価は引き下げ
CERT/CCは当初、任意のコードを実行できる可能性も指摘していたが、この部分を削除して危険度評価を引き下げた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
SpecialPR
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースが“まさかの回答” AIエージェント、「いくらが適正価格か」問題が勃発
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- “クラウド一辺倒時代”はもう終わり? 新たな選択肢「ニューオンプレミス」は検討に値するか
あなたにおすすめの記事PR
ITmediaはアイティメディア株式会社の登録商標です。