ニュース
Windowsに未解決の脆弱性、Google研究者が情報公開
この問題は、公開が延期された2月の月例セキュリティ更新プログラムで対応される予定だったのではないかとGoogle研究者は推測している。
米Googleの研究者がMicrosoftのWindowsに存在する未解決の脆弱性を発見したとして、コンセプト実証コードなどを公開した。
それによると、脆弱性はWindowsのGDIライブラリ(gdi32.dll)に実装されているEMFレコードに組み込まれたDIB(Device Independent Bitmap)の処理に起因する。Googleの研究者は過去にもこれに関連する脆弱性を報告していたといい、その後一部の脆弱性は修正されたが、まだ未解決の問題が残っているのが見つかったと報告した。
悪用されればユーザーの個人情報や仮想アドレススペースに関する情報などセンシティブな情報が流出する恐れがあるとされ、危険度は「中程度」と評価している。研究者は細工を施したEMFファイルをWord文書に仕込む手口を使い、ローカルのInternet ExplorerとリモートのOffice Onlineの両方で、この脆弱性を再現できることを確認したとしている。
Microsoftには2016年11月16日に報告したが、90日以内に修正されなかったことから情報を公開したと研究者は説明。この問題は、公開が延期された2月の月例セキュリティ更新プログラムで対応される予定だったのではないかと推測している。
関連記事
- Microsoft、2月の月例更新プログラムは3月分と併せて公開
公開を延期していた2月の月例セキュリティ更新プログラムは、3月の月例更新プログラムと併せて公開する。 - Microsoft、月例セキュリティ更新プログラムの公開を延期
直前になって問題が見つかり、この日までに解決できなかったことから、公開を延期することにしたと説明している。更新プログラムがいつ公開されるのかは、現時点で明らかにしていない。 - Microsoft、セキュリティ情報公開の方式を変更 2月からはサマリー掲載廃止
2月からは従来の月例セキュリティ情報ページへのサマリー掲載を中止し、新ポータルのみを通じて更新情報を提供する。 - Windowsの未解決の脆弱性、次回月例更新プログラムで対処の見通し 危険度評価は引き下げ
CERT/CCは当初、任意のコードを実行できる可能性も指摘していたが、この部分を削除して危険度評価を引き下げた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.