Googleは「Windows」に潜む脆弱性を発見し、Microsoftに通知したものの、わずか10日後にその情報を公開した。
GoogleのThreat Analysis Groupは米国時間10月31日、Windowsの脆弱性に関する情報を公開した。同社によると、Adobe Systemsの「Flash Player」の脆弱性とともに発見されたこの脆弱性は、現在活発に悪用されているという。
GoogleのNeel Mehta氏とBilly Leonard氏は同社ブログへの投稿で、「この脆弱性は、Windowsカーネル内におけるローカルでの特権昇格であり、サンドボックス回避手段として利用可能だ」と記している。
「これは、GWL_STYLEをWS_CHILDに設定したウィンドウハンドル上のGWLP_IDインデックスに対して、win32k.sysのNtSetWindowLongPtr()システムコールを実行することで引き起こされる。『Google Chrome』のサンドボックスは『Windows 10』上でのWin32kロックダウン緩和ポリシーを用いてwin32k.sysに対するシステムコールをブロックして、サンドボックスを回避するこの脆弱性の悪用を防止している」(両氏)
両氏は、脆弱性情報公開に関するGoogleの方針に従って、情報の開示に踏み切ったという。なお、この脆弱性に対するパッチはまだリリースされていない。
Googleはこの方針に関して同社ブログで、「(Googleは60日以内に何らかの対処を採ることを奨励している)とは言うものの、われわれの経験では、活発に悪用されている重大な脆弱性にはより迅速な対応、すなわち7日以内の対応が適切だと確信している。その理由は、活発に悪用されている脆弱性に関する情報が一般に公開されず、なおかつパッチがリリースされなければ、日を重ねるごとにより多くのコンピュータが悪人の手に落ちることになるためだ」と述べている。
また、「7日という期間は強気の日程であり、一部のベンダーにとっては製品のアップデートには短すぎるかもしれないが、サービスの一時的な停止や、アクセスの制限、ベンダーに対する詳細情報の要求といった、問題の緩和につながるアドバイスを公開するには十分なはずだ」とも述べている。
GoogleのProject Zeroは10月25日、XNUカーネルに存在する、解放後のメモリ使用によって引き起こされる脆弱性についての詳細な情報を公開している。XNUはオープンソースOSである「Darwin」のカーネルであり、「iOS」や「macOS」でも使用されている。
Project ZeroのIan Beer氏はバグレポートに、「このバグを悪用することで、カーネルメモリの破壊を引き起こすことができ、『Safari』やChromeといった重要性の高いサンドボックスから悪用できる」と記している。
Appleはこの問題に対処するために、大規模なリファクタリングを実施する必要があったものの、macOSでは10月24日にリリースした「macOS Sierra 10.12.1」で、iOSでは9月にリリースした「iOS 10」で対処済みとなっている。
Googleの情報公開ページによると、XNUの脆弱性については9月21日に公開する予定であり、Appleからの情報公開延期要請に対しても当初は応じていなかったが、両社の「上層部」の間で話し合いが持たれた結果、「5週間という期間延長に対応した」という。
編集部注:Microsoftはこの問題のフィックスを通常のパッチサイクルの一部として11月8日にリリースする方針を明らかにしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。