Windowsに未解決の脆弱性、Googleが独自方針で情報を公開
Googleは「攻撃が発生している重大な脆弱性については、報告から7日たってもパッチがリリースされなければ公表する」という独自のポリシーに基づいて、Windowsの未解決の脆弱性に関する情報を公表した。
米Googleは10月31日、MicrosoftのWindowsに存在する未解決の脆弱性に関する情報を公表した。この脆弱性を突く攻撃が発生したことを受け、ユーザーを守るため公表に踏み切ったと強調している。
Googleのブログによると、同社は10月21日に、ゼロデイの脆弱性(それまで公になっていなかった脆弱性)に関する情報をMicrosoftとAdobe Systemsに報告した。Adobeは同月26日に緊急公開したFlash Playerのセキュリティアップデートでこの脆弱性を修正している。
しかし、Windowsの脆弱性はまだ修正されていないことから、Googleは「攻撃が発生している重大な脆弱性については、報告から7日たってもパッチがリリースされなければ公表する」というGoogle独自のポリシーに基づいて、情報を公開することにしたという。「今回の脆弱性は、既に悪用されているという点で特に深刻」だとも説明した。
Windowsに存在するのはカーネルにおけるローカル権限昇格の脆弱性で、悪用されればセキュリティ対策のサンドボックスをかわされる恐れがあるという。GoogleのWebブラウザChromeでは、この問題を突く攻撃は防止できるとした。
これに対してMicrosoftはニュースサイトVentureBeatの取材に応え、「Googleによる情報の公開は顧客を潜在的なリスクにさらす」と批判した。脆弱性修正のための更新プログラムをいつ公開するかは明らかにしていない。
VentureBeatは関係者の話として、「Googleが指摘したような悪用のためにはAdobe Flashの脆弱性を突く必要がある。Flashの脆弱性が修正されたことからWindowsの脆弱性は緩和される」と伝えている。
関連記事
- Flashの未解決の脆弱性突く攻撃発生、Adobeが臨時パッチ公開
この問題を突くコードが既に出回っていて、Windows 7、8.1および10を狙った限定的な標的型攻撃に使われているという。 - Windowsの設計に起因する攻撃手法「AtomBombing」、セキュリティ企業が発見
名称はこの攻撃がWindowsの「アトムテーブル」と呼ばれる仕組みを突いていることに起因する。コードの脆弱性を突くわけではないため、修正パッチでは対応できないという。 - MSがGoogle非難、Windowsの脆弱性情報公開を巡り
GoogleがWindowsの未解決の脆弱性情報を公開したことに対し、Microsoftは「結果として被害を被るのは顧客だ。Googleにとって正しいことが顧客にとって常に正しいとは限らない」と強調した。 - Google研究者がWindowsの脆弱性情報を公開 Microsoftの対応に不満か
情報を公開したGoogleの研究者は、「Microsoftは脆弱性研究者を非常に敵対的に扱う」と不満を漏らしている
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.