ニュース

Microsoft Edgeのセキュリティ機能「ACG」の未修正脆弱性、Googleが公表

報告から90日経過、独自の社内ポリシーに基づいて公表

 Googleは、ウェブブラウザー「Microsoft Edge」の悪意あるコードの読み込みを防止するセキュリティ機能「ACG(Arbitrary Code Guard)」における未修正の脆弱性に関する情報を公開した。

 この脆弱性は、Googleのセキュリティリサーチャーが発見し、Microsoftへ11月17日に報告していたもの。Google独自のポリシーに基づいて、90日を経過したとして公表した。Google Project Zeroによれば、脆弱性の深刻度は「中(Medium)」。

 ACGは、JavaScriptなどの実行コードを動的に生成または変更させない機能で、2017年4月に提供が開始された「Windows 10 Creators Update」でMicrosoft Edgeに追加された。今回Googleが公表した脆弱性を悪用すると、これを回避して実行コードをメモリ上に配置できるという。

 なお、同じタイミングでMicrosoft Edgeに実装されたセキュリティ機能で、適切に署名されたDLLのみを読み込み可能にする「CIG(Code Integrity Guard)」については影響がない。

 Google Project Zeroによれば、MSRC(Microsoft Security Responce Center)は、「この修正プログラムは当初の予定よりも複雑であり、これらのメモリ管理の問題により、2月の定例更新の期限には間に合わない可能性が非常に高い。90日間のSLAと14日間の猶予期間を超えてしまうだろう」と述べているとのことだ。