ニュース
Google、Windowsカーネルにおける未修正の脆弱性情報を公表
攻撃観測から7日経過後に情報を公開する独自ポリシーを適用
2016年11月1日 12:16
Googleは10月31日、未修正の脆弱性を悪用した攻撃が存在しているとして、Windowsカーネル内のローカル権限昇格における脆弱性についての情報を公開した。Microsoftでは現在、この脆弱性に対する修正プログラムを提供していない。
この脆弱性は、Windowsのカーネルモードドライバ「Win32k.sys」に存在するもので、悪用されればセキュリティ対策用のサンドボックスを無効化した状態でアプリケーションの実行が可能になるという。なお、Googleによれば、Windows 10で稼働するGoogle Chromeでは、この問題を突いた攻撃を防止できるとのことだ。
Googleでは、10月21日にゼロデイ脆弱性に関する情報をMicrosoftに報告していた。今回、脆弱性情報を公表したことについてGoogleでは、「攻撃が観測されてから7日後に修正プログラムが提供されない場合に公表する」とのGoogle独自のポリシーに基づいているとしている。
GoogleはFlash Playerの脆弱性「CVE-2016-7855」についても10月21日にAdobe Systemsへ報告していたが、Adobeでは26日に、報告された脆弱性に対するFlashのセキュリティ更新を提供している。