Windowsカーネルに情報漏えいの脆弱性、7月の月例パッチで対策済み

　米Microsoftは6日、Windowsカーネルに情報漏えいの脆弱性（CVE-2019-1125）が存在することを公表した。同脆弱性は、CPUの脆弱性「Spectre Variant 1」の亜種になる。

　Spectreは、Intel、AMD、ARMなどのCPUに影響を与える脆弱性。CPUにおける投機的実行のサイドチャネル攻撃により、本来読み取れないはずのメモリ領域のデータを読み取られ、機密情報を取得される恐れがあるという。

　今回公表された脆弱性のCVSS基本値は5.6。同脆弱性を悪用するには、攻撃者が影響を受けるシステムにログオンし、細工されたアプリを実行する必要がある。攻撃者はユーザー権限を直接昇格することはできないが、システムを攻撃するための情報取得に使われる可能性があるとしている。

　同社によると、この脆弱性は7月の月例更新で対策済みのもので、ベンダーが提供するマイクロコードの更新も不要としている。