グーグル、Windows脆弱性をまた公開--ここ1週間で2度目

Chris Duckett (ZDNET.com) 翻訳校正: 編集部

2015-01-16 16:27

 Googleが、メモリ上のデータを暗号化するCryptProtectMemory関数の脆弱性が「Windows 7」と「Windows 8.1」にあることを発見し、ゼロデイ攻撃の撲滅を目指すプロジェクト「Project Zero」が設ける90日間の期日が過ぎたとして、情報を公開した。

 脆弱性を見つけたのは、特権昇格のバグを米国時間1月11日にも公開しているJames Forshaw氏。特権昇格のバグが公開された際には、Microsoftは苦言を呈している。

 Forshaw氏によると、今回の脆弱性は、なりすましチェックの回避につながるもので「CryptProtectMemory関数はプロセス、ログオンセッション、コンピュータの3つのシナリオにおいて、アプリケーションがメモリ(にあるデータ)を暗号化できるようにするものだ。ログオンセッションのオプション(CRYPTPROTECTMEMORY_SAME_LOGON)を使うと、暗号化キーがログオンセッションIDに基づいて生成され、同一ログオン内で実行されているプロセス同士でメモリを共有することが可能になる。これは、あるプロセスから別のプロセスにデータを送信する際にも使用でき、偽装トークンからログオンセッションIDを抽出することが可能になる」とForshaw氏は述べる。

 脆弱性は2014年10月17日に発見され、29日までにはMicrosoftも不具合を確認したが、互換性の問題が発生し、Googleが設ける期限までに不具合を修正できず、このたび情報が公開されることになってしまった。

 「Microsoftから、1月のパッチでフィックスを配布するつもりだったが、互換性の問題があったため提供を中止せざるを得なかったという連絡を受けた。フィックスは2月のセキュリティパッチとして提供されると思われる」とForshaw氏は述べている。

 Microsoftが不具合の修正に取り掛かり、Googleに情報公開を延期するよう依頼しているにもかかわらず、GoogleがWindowsのセキュリティ問題を公にするのはここ1週間で2度目。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

  5. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]