Windows 7に未解決の脆弱性、Google Chromeのゼロデイ攻撃で組み合わせて悪用
Google Chromeで発覚したゼロデイ攻撃では、その時点で未解決だったChromeの脆弱性と、Windowsの未解決の脆弱性を組み合わせて悪用していた。
米GoogleのWebブラウザChromeで発覚したゼロデイの脆弱性に関連して、Googleは3月7日、この脆弱性がMicrosoft Windowsの未解決の脆弱性と組み合わせて利用されていたことを明らかにした。
ChromeについてはGoogleが3月1日のアップデートでこの問題に対処したが、Microsoftは現時点ではまだWindowsの更新プログラムを公開していない。
Googleによると、悪用されていたのはwin32k.sysカーネルドライバに存在するローカル権限昇格の脆弱性で、セキュリティ対策のサンドボックスをかわす目的で使われる恐れがあるという。
ただ、Windows 10などには悪用を防ぐ対策が実装されていることから、今回の脆弱性を突く攻撃が通用するのはWindows 7に限られるとGoogleは推定する。これまでに同社が発見した攻撃も、脆弱性が悪用されていたのはWindows 7 32ビットシステムのみだった。
Microsoftには報告済みだが、Googleは標的型攻撃に利用されている深刻な脆弱性と判断して、その存在を公表することにしたと説明する。
Googleによると、Microsoftは更新プログラムの開発に当たっているものの、現時点ではまだ未解決の状態が続いていることから、この脆弱性が権限の昇格に利用されたり、他のブラウザの脆弱性と組み合わせてサンドボックス脱出に使われたりする恐れもある。
今回のような脆弱性を回避するためにも、まだWindowsの古いバージョンを使っているユーザーは、Windows 10へのアップグレードを検討した方がいいとGoogleは勧告している。
関連記事
- Google Chromeの脆弱性、実は「ゼロデイ」だった
Googleは「Chrome 72」の更新版で修正した脆弱性について、悪用コードが出回っているとの報告が入っていたことを明らかにした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.