Windows 7に未解決の脆弱性、Google Chromeのゼロデイ攻撃で組み合わせて悪用

Google Chromeで発覚したゼロデイ攻撃では、その時点で未解決だったChromeの脆弱性と、Windowsの未解決の脆弱性を組み合わせて悪用していた。

» 2019年03月12日 08時00分 公開
[鈴木聖子ITmedia]

 米GoogleのWebブラウザChromeで発覚したゼロデイの脆弱性に関連して、Googleは3月7日、この脆弱性がMicrosoft Windowsの未解決の脆弱性と組み合わせて利用されていたことを明らかにした。

Photo 脆弱性について報じるGoogle Security Blog

 ChromeについてはGoogleが3月1日のアップデートでこの問題に対処したが、Microsoftは現時点ではまだWindowsの更新プログラムを公開していない。

 Googleによると、悪用されていたのはwin32k.sysカーネルドライバに存在するローカル権限昇格の脆弱性で、セキュリティ対策のサンドボックスをかわす目的で使われる恐れがあるという。

 ただ、Windows 10などには悪用を防ぐ対策が実装されていることから、今回の脆弱性を突く攻撃が通用するのはWindows 7に限られるとGoogleは推定する。これまでに同社が発見した攻撃も、脆弱性が悪用されていたのはWindows 7 32ビットシステムのみだった。

 Microsoftには報告済みだが、Googleは標的型攻撃に利用されている深刻な脆弱性と判断して、その存在を公表することにしたと説明する。

 Googleによると、Microsoftは更新プログラムの開発に当たっているものの、現時点ではまだ未解決の状態が続いていることから、この脆弱性が権限の昇格に利用されたり、他のブラウザの脆弱性と組み合わせてサンドボックス脱出に使われたりする恐れもある。

 今回のような脆弱性を回避するためにも、まだWindowsの古いバージョンを使っているユーザーは、Windows 10へのアップグレードを検討した方がいいとGoogleは勧告している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ