編集部からのお知らせ
特集まとめ:高まるCISOの重要性

グーグル、「Windows」のゼロデイ脆弱性を公表

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2020-11-02 10:11

 Googleのセキュリティリサーチャーらは米国時間10月30日、現時点で活発に悪用されているとみられる「Windows」のゼロデイ脆弱性を公表した。

 Googleのセキュリティ研究チーム「Project Zero」のチームリードBen Hawkes氏によると、このゼロデイはMicrosoftの次回の月例パッチが提供される11月10日で修正される見通しだ。

 この脆弱性(CVE-2020-17087)は、20日にHawkes氏のチームが公表した「Google Chrome」のゼロデイ脆弱性(CVE-2020-15999)とともに2段階攻撃の一環として用いられているという。Hawkes氏がTwitterで明らかにした。

 攻撃者はChromeのゼロデイ脆弱性を悪用してChrome内で悪意のあるコードを実行した後、この攻撃の第2段階としてWindowsのゼロデイ脆弱性を悪用することで、セキュリティ専門家が言うところの「サンドボックス脱出」、すなわちChromeのセキュアなコンテナーを脱出し、Windows上でコードを実行することが可能になる。

 同チームは22日にMicrosoftに連絡し、この脆弱性に対応するための7日間の非開示期間を設けたという。Microsoftは期限までにパッチを提供しておらず、チームは30日に詳細を公開した。

 同チームのレポートによると、このゼロデイ脆弱性はWindowsのカーネル内に存在しており、攻撃者のコードに追加の権限を付与するために悪用できるという。

 またこの脆弱性は、「Windows 7」から「Windows 10」の直近のリリースに至るまでのすべてのWindowsバージョンに存在しているという。

 この攻撃を再現するための概念実証(PoC)コードも含まれている。

 Hawkes氏は、この2つのゼロデイを誰が利用しているかということについて、詳細を明らかにしていない。ゼロデイ脆弱性の多くは国家が支援しているハッキンググループや、大規模なサイバー犯罪グループによって発見されるのが通例となっている。

 Googleのレポートによると、Googleの「Threat Analysis Group」(TAG:脅威分析グループ)も攻撃を確認している。

 Google TAGのディレクターShane Huntley氏は、この攻撃は米大統領選挙とは関係ないとしている。

 Chromeのゼロデイ脆弱性は、Chromeバージョン86.0.4240.111で修正されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]