13/05/24 23:40:23.55 .net
URLリンク(www.itmedia.co.jp)
米Googleの研究者がMicrosoftのWindowsに存在する未解決の脆弱性を発見したとして、セキュリティセキュリ
ティメーリングリスト「Full Disclosure」に情報を投稿した。脆弱性研究を専門とするセキュリティ企業のSecuniaも
この脆弱性の存在を確認し、5月21日付でアドバイザリーを公開している。
脆弱性情報は、Googleの研究者、テイビス・オーマンディ氏が5月17日付でFull Disclosureに投稿した。この中
で同氏は、「Win32k.sys」に発見したという脆弱性について解説。3月にも同じ情報を公開したが、「自分にはくだら
ないMicrosoftコードに費やすような自由時間はあまりないので、悪用のための最後の障壁を取り除くためのアイ
デアを募る」とした。
続いてオーマンディ氏は、5月20日にもFull Disclosureに追加の情報を投稿し、「現在サポートされている
Windowsの全バージョンに通用するワーキングエクスプロイトを作成した」と宣言した。
これを受けてSecuniaが公開したアドバイザリーによれば、脆弱性はwin32k.sysで特定のオブジェクトを処理す
る方法に存在する。この問題を悪用された場合、サービス妨害(DoS)攻撃を誘発されたり、権限を昇格されたり
する恐れがあるという。
この脆弱性は最新のパッチを当てたWindows 7 x86 Professionalで確認され、Windows 8でも報告されていると
Secuniaは指摘する。危険度については同社の5段階評価で下から2番目の「Less critical」と評価した。
オーマンディ氏は、過去にもWindowsの未解決の脆弱性情報をMicrosoftが発表する前に公開し、物議を醸した
ことがある。今回の脆弱性をめぐっても、5月15日付の個人ブログで「Microsoftは脆弱性研究者を非常に敵対的
に扱う」と不満を漏らしている。