Windows 7に未解決の脆弱性発覚、Twitterで実証コードが公開に

[鈴木聖子，ITmedia]

　MicrosoftのWindows 7に新たな未解決の脆弱性が発覚し、この問題を突くコンセプト実証（PoC）コードがTwitterで公開された。米セキュリティ機関のSANS Internet Storm Centerが12月21日のブログで伝えた。

　それによると、コンセプト実証用のHTMLコードは、Safariで閲覧すると64ビット版のWindows 7がクラッシュし、ブルースクリーン状態に陥る。この状態はメモリ破損に起因するもので、データ実行防止機能（DEP）やASLR（Address Space Layout Randomization）といったWindows 7のセキュリティ対策をかわされれば、任意のコード実行に利用される恐れもあるという。

　脆弱性はWindowsカーネルモードデバイスドライバの「win32k.sys」に存在するとされ、コード実行の攻撃を受ければフル権限を取得される恐れもあることから、「影響は極めて深刻だ」とSANSは解説する。特に、Internet Explorer（IE）やFirefox、ChromeなどのWebブラウザを使って問題を誘発されればさらに大きな危険を伴うとして、今後の成り行きを注視するよう促している。

　この問題についてデンマークのセキュリティ企業Secuniaもアドバイザリーを公開し、最新の更新プログラムを適用したWindows 7 Professional（64ビット）でこの脆弱性を確認したと伝えた。現時点で解決策は存在しないとしている。