米Googleは10月31日、MicrosoftのWindowsに存在する未解決の脆弱性に関する情報を公表した。この脆弱性を突く攻撃が発生したことを受け、ユーザーを守るため公表に踏み切ったと強調している。
Googleのブログによると、同社は10月21日に、ゼロデイの脆弱性(それまで公になっていなかった脆弱性)に関する情報をMicrosoftとAdobe Systemsに報告した。Adobeは同月26日に緊急公開したFlash Playerのセキュリティアップデートでこの脆弱性を修正している。
しかし、Windowsの脆弱性はまだ修正されていないことから、Googleは「攻撃が発生している重大な脆弱性については、報告から7日たってもパッチがリリースされなければ公表する」というGoogle独自のポリシーに基づいて、情報を公開することにしたという。「今回の脆弱性は、既に悪用されているという点で特に深刻」だとも説明した。
Windowsに存在するのはカーネルにおけるローカル権限昇格の脆弱性で、悪用されればセキュリティ対策のサンドボックスをかわされる恐れがあるという。GoogleのWebブラウザChromeでは、この問題を突く攻撃は防止できるとした。
これに対してMicrosoftはニュースサイトVentureBeatの取材に応え、「Googleによる情報の公開は顧客を潜在的なリスクにさらす」と批判した。脆弱性修正のための更新プログラムをいつ公開するかは明らかにしていない。
VentureBeatは関係者の話として、「Googleが指摘したような悪用のためにはAdobe Flashの脆弱性を突く必要がある。Flashの脆弱性が修正されたことからWindowsの脆弱性は緩和される」と伝えている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR